Marcos César M. Pereira e Pedro Amaral, pesquisadores do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec)
Revisão: Mariana Canto
Desde 27 de março de 2023 estão sendo registrados ataques violentos em escolas no Brasil. Em São Paulo, um aluno de 13 anos invadiu e assassinou uma professora de 71 anos, além de ferir mais cinco outros alunos da mesma instituição. Em Blumenau, no estado de Santa Catarina, um homem de 25 anos invadiu uma creche e assassinou cinco crianças e feriu outras quatro no dia 05 de abril de 2023. Cinco dias depois, em Manaus, no Amazonas, norte do Brasil, um adolescente feriu uma professora e dois outros alunos numa tentativa de massacre. No dia seguinte, em Goiás, um adolescente esfaqueou outros três alunos na escola em que estudava. O Brasil se vê, mais uma vez neste ano, em outro contexto de grande perigo.
Diante deste cenário, o Ministério da Justiça e Segurança Pública (MJSP) vem agindo e se posicionando enfaticamente sobre a necessidade de proteger as crianças e adolescentes e punir aqueles que buscam realizar tais massacres. O Ministro Flávio Dino tem adotado um tom enfático contra as plataformas que não estão moderando conteúdos extremistas. Assim, foi editada a Portaria nº 351/2023 que dispõe acerca de medidas administrativas a serem adotadas para prevenção à disseminação de conteúdos ilícitos, prejudiciais ou danosos por plataformas de redes sociais.
Em linha similar, Estela Aranha, responsável pela área de direitos digitais do MJSP, defendeu o uso de hashes, em tweet na terça-feira (18), para frear a disseminação de conteúdos ilícitos. Essa solução também é apresentada por aqueles que defendem a varredura pelo lado do cliente (VPLC) como forma de burlar a criptografia ponta-a-ponta. Como apontamos anteriormente, tais ganhos de capacidades vigilantistas podem ser facilmente desvirtuados, chamado de mission creep, quando funcionalidades são sequestradas para outros fins, como objetivos autoritários, além de aumentar a superfície de ataque e, logo, a insegurança nos sistemas eletrônicos.
Destacamos que também começou a andar o Projeto de Lei 2628/2022 de autoria do Senador Alessandro Vieira (PSDB/SE), protocolado em 18 de outubro de 2022 e no plenário do Senado desde lá. O PL, despachado apenas em 18/04 deste ano para a Comissão de Direitos Humanos pelo Presidente do Senado, Rodrigo Pacheco (PSD/MG), dispõe “sobre a proteção de crianças e adolescentes em ambientes digitais” e, assim como a Portaria nº 351/2023, já citada, vem no conjunto de iniciativas surgidas ou aceleradas em resposta aos ataques e outros ameaças aos direitos das crianças e adolescentes, além de outras por vir.
Defendemos, porém, cuidado nas escolhas para a defesa de crianças e adolescentes no ambiente digital, entendendo que esta não pode ser feita de forma apressada, reducionista, moralista e nem punitivista, sob o risco de provocar mais danos, sem resolver os problemas. Não há bala de prata tecnológica que irá resolver problemas que são inevitavelmente sociais e os direitos das gerações futuras merecem nossa mais séria e cuidadosa atenção.
Recapitulando o debate: Criptografia e a proteção de crianças e adolescentes
No primeiro texto de 2023 do ObCrypto, alertamos para alguns riscos que o Brasil poderia enfrentar no cenário criptográfico ao longo deste ano. Especificamente, como os esforços do MJSP em resposta aos atos do 8 de janeiro em Brasília poderiam resultar em medidas voltadas a uma maior regulação das plataformas digitais – sobretudo tendo como mote a desinformação e conteúdos antidemocráticos. O novo gás aos esforços de regulação das plataformas no Brasil é justamente a onda de ataques às escolas. Como na dinâmica estadunidense, os ataques inspiram outros, havendo também algum grau de organização e planejamento, em alguns casos. Esses ataques são realizados por meninos e homens cisgêneros dotados de um ethos violento e que buscam, frequentemente, reconhecimento e fama.
Nesse cenário, o papel do meio digital nas ameaças e também na proteção de crianças e adolescentes ocupou um lugar de destaque. As redes sociais têm sido apontadas como o vetor ou o ambiente de radicalização e recrutamento por grupos masculinistas, supremacistas e neonazistas. Assim, o debate sobre proteção de crianças e adolescentes e enfraquecimento de criptografia forte parece estrear no país – dotado de especificidades e particularidades próprias. Pretendemos aqui: i) explorar brevemente como essa relação tem sido tratada em outros países, especificamente na União Europeia e Reino Unido e; ii) sintetizar os dissensos e discordâncias aos discursos que opõem criptografia e a segurança das crianças para engrenar políticas que enfraquecem a segurança digital de todos, inclusive das crianças.
O que une a Online Safety Bill (OSB) do Reino Unido, o EARN IT Act dos EUA, IT Rules 2021 da Índia e a proposta de ChatControl na União Europeia? Na busca por criar mecanismos de proteção de crianças na internet, especialmente de materiais de abuso sexual infantil (CSAM), esses projetos atacam a criptografia. Não é a primeira vez que agências de aplicação da lei fazem isso. As sensibilidades às quais se faz o apelo é que variam, testando seus efeitos na opinião pública. Mas será mesmo que a proteção das crianças e adolescentes é incompatível ou ameaçada pela criptografia forte?
Reino Unido e sua proposta de Lei de Segurança Online
Em circulação há alguns anos, a lei tem proposto que serviços digitais, como os de mensageria, garantam mecanismos de acesso para as forças de aplicação da lei, dedicando atenção especial à proteção de crianças e adolescentes. A leitura da sociedade civil, da comunidade tecnológica e do setor privado, no entanto, é a de que essa proposta será usada para enfraquecer a criptografia ponta-a-ponta (CPaP). Há pouco tempo o Signal informou que sairia do Reino Unido, o Whatsapp afirmou que não alteraria a criptografia ponta-a-ponta de seu serviço, o que levaria a ser bloqueado, e outros serviços se posicionaram de formas parecidas.
No último 18 de abril, Element, OPTF/Session, Signal, Threema, Viber, WhatsApp e Wire assinaram uma carta aberta ao governo do Reino Unido urgindo para tratar dos riscos à privacidade e à segurança que a OSB representa. Caso esse cenário se concretize, diversos serviços terão que sair do país ou entregar uma versão diferente para atender as demandas da lei. Além disso, a lei poderia ter efeito encorajador para outros governos. Em nossa Nota Técnica, apontamos que o texto do MJSP para o PL2630 oferece risco à criptografia. Não nos surpreenderia se outros projetos fossem na mesma direção.
No dia 19 de abril, a Virtual Global Taskforce (VGT), aliança de 15 forças de aplicação da lei de vários continentes, publicou, no site da National Crime Agency do Reino Unido, o “Statement on End-to-End Encryption”, onde pedem à indústria “que somente implementem escolhas de design de plataforma, incluindo criptografia ponta-a-ponta, em escala acompanhadas de sistemas de segurança robustos que mantenham ou aumentem a segurança das crianças” (tradução livre). A nota cita diretamente a Meta, que tem implementado CPaP no Facebook e Instagram, o que jogaria sombra em suas investigações, ponto que discordamos previamente.
A proposta de ChatControl da Comissão Europeia
Atravessando o Mar do Norte, há a proposta do ChatControl, da Comissão Europeia. Publicizada em maio de 2022, a proposta já era criticada pelo Conselho de Escrutínio Regulatório da Comissão Europeia, órgão responsável por aconselhar a própria Comissão Europeia, em documento vazado antes mesmo de sua publicização. Em junho passado, Nuno M. Guimarães e Nuno T. Castro, membros da Internet Society Portugal, apontaram no ObCrypto os problemas técnicos, constitucionais, econômicos e éticos da proposta da Comissão Europeia.
Em julho do mesmo ano, o texto da proposta foi criticado também pelo Comitê Europeu para a Proteção de Dados (EDPB) e pela Autoridade Europeia para Proteção de Dados (EDPS) em uma Opinião Conjunta 4/2022. Os órgãos destacaram a falta de proporcionalidade das medidas propostas frente à interferência nos direitos à privacidade e à proteção de dados pessoais, de salvaguardas substantivas e de claridade, o que provocaria incerteza e insegurança jurídica e espaço para abusos.
No dia 13 abril, mais dois problemas para a proposta surgiram. Primeiro, a análise do Governo Federal Alemão sobre a proposta, onde são apontados os riscos aos direitos fundamentais, em especial à confidencialidade e privacidade das comunicações. Para o governo alemão, “um alto nível de proteção de dados e cibersegurança, incluindo criptografia ponta-a-ponta segura e sem remendos nas comunicações eletrônicas, é essencial”. Além disso, o vazamento do estudo de impacto sobre a proposta, realizado pelo Parlamento Europeu, encontrou que “a tecnologia atual não é avançada o bastante para detectar novos CSAMs e grooming sem resultar numa alta taxa de erro”, concluindo ainda sobre incompatibilidade entre as tecnologias de escaneamento de comunicações privadas e a CPaP forte.
Por que defender criptografia forte é defender crianças e adolescentes?
Ainda que todas as propostas supracitadas se pautem pela defesa das crianças e adolescentes, as formas que são propostas podem aumentar riscos, inclusive para esse grupo. Temos, por isso, dedicado atenção para fomentar o debate sobre a relação entre a criptografia forte e a proteção de crianças e adolescentes. Em 2021, Isabela Inês, então pesquisadora do IP.rec, apontou como esta relação é positiva. Diversos estudos, como da Internet Society e UNICEF, argumentam que a utilização de criptografia protege dados e direitos humanos de jovens, sobretudo contra possíveis abusadores. A criação de mecanismos que burlam a criptografia coloca crianças e adolescentes em risco por aumentar as vulnerabilidades em sistemas, possibilitando que seus dados sejam mais fáceis de serem acessados ilegalmente.
Em entrevista, Jeremy Malcom, da Prostasia Foundation, organização sem fins lucrativos estadunidense dedicada ao combate do abuso sexual infantil, argumentou que o combate à exploração sexual infantil é essencial, mas não pode ser feito por meio do enfraquecimento da privacidade e da segurança das crianças – direito que elas possuem. Destacamos ainda a participação do IP.rec à contribuição à chamada pública da Comissão Europeia sobre combate ao abuso de abuso sexual infantil e nossa análise sobre a proposta de VPLC da Apple para combater CSAM.
Em janeiro de 2023, a Child Rights International Network (CRIN) em parceria com a Defend Digital Me publicou o relatório “Privacy and Protection: A children’s rights approach to encryption”. O material robusto, construído por meio de pesquisa e entrevista com especialistas no campo, aponta como a utilização de criptografia forte por crianças e adolescentes pode garantir seus direitos fundamentais. A criptografia, além de garantir a segurança das comunicações privadas, também possibilita que crianças e adolescentes tenham espaços seguros para atividades que envolvam educação, saúde, entre outros.
O relatório destaca como dados de crianças e adolescentes são vazados pelo acesso de pessoas não autorizadas – por vezes evitável se empregada a CPaP. A ausência de CPaP pode ainda fragilizar e colocar crianças e adolescentes em risco, como foi o caso da entrega pela Meta de mensagens entre mãe e filha após ordem judicial, possível pela ausência de criptografia ponta-a-ponta. A criptografia, segundo o estudo, não deve ser vista de maneira apartada da proteção infantil, tampouco como como solução ou razão dos problemas, mas contextualizada em um ecossistema social e tecnológico. O estudo entende que o banimento de criptografia para crianças agudizaria os riscos. Por isso, ainda oferece, aos tomadores de decisão e policymakers, princípios de uma perspectiva baseada na defesa dos direitos de crianças sobre a criptografia.
Recentemente, foi noticiada a difusão de boatos sobre novos ataques em grupos de WhatsApp. O serviço de mensageria, que é o mais popular do Brasil, fornece CPaP, e já foi alvo de polêmicas e debates recorrentes, como no caso da propagação de fake news. Dado essa centralidade do Whatsapp no debate, entendemos que, mais uma vez, a criptografia pode estar sob ameaça – incluindo os riscos da rastreabilidade de mensagens, pauta já longamente proposta e rechaçada no Brasil.
Proposições similares às propostas do exterior, sob o mote de defesa de crianças e adolescentes, podem ganhar versões brasileiras. Mesmo que não defendam explicitamente a proibição da criptografia, podem envolver incompatibilidades com a criptografia e o sigilo das comunicações. Cada vez mais apresentadas esse tipo de proposta envolve um tema importante, mas muitas vezes sob abordagens moralistas e paternalistas que tomam a Internet somente como um espaço perigoso, sem ver as possibilidades para o desenvolvimento e a garantia de direitos. Entendemos que muitos desses projetos partem do pressuposto que crianças e adolescentes não têm capacidade crítica sobre o uso da Internet, essas abordagens concluem que crianças devem (quase sempre) ser vigiadas pelos pais, Estado ou empresas. Por isso, a criptografia seria um empecilho.
Ao tratar de segurança das crianças e adolescentes, as muitas leis que estão sendo propostas e aprovadas sobre o tema “efetivamente regulam conteúdo em plataformas mas não dizem isso” [que estão regulando conteúdo e plataformas] , afirmou em tweet Daphne Keller, Diretora de Regulação de Plataformas do Stanford Cyber Policy Center. Keller aponta que essas leis têm graves consequências para a liberdade de expressão e privacidade na internet e esta tendência legislativa e regulatória não está recebendo a atenção que precisa. Nesse sentido, argumentamos que é necessário avançarmos nas intersecções entre direitos das crianças e privacidade, o que parece ainda incipiente também no Brasil.
Para isso, defendemos o entendimento da criptografia como uma ferramenta para o desenvolvimento seguro de crianças e adolescentes em uma sociedade conectada. Propostas que enfraquecem sua utilização podem colocar em risco a garantia de direitos como direito à privacidade, liberdade de expressão, de associação, entre outros. Assim, fazemos coro à Meredith Whittaker, em resposta à Keller, que é necessário abandonar a oposição entre privacidade e segurança das crianças. A proteção dos direitos das crianças e adolescentes brasileiras não pode ser baseada na redução de sua segurança digital. Afinal, crianças e adolescentes são sujeitos de direitos e devem ter sua autonomia fomentada e sua privacidade preservada.
