Por Pedro Amaral
O Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução penal entregue à Câmara dos Deputados em Novembro de 2020 organiza algumas questões abertas, com implicações para as políticas de criptografia.
Na última análise do ObCrypto, foi tratado o contexto de disputas acerca da criptografia no mundo e no Brasil. De um lado, há pressões de agentes estatais que visam enfraquecer a criptografia para fins de segurança de indivíduos, grupos ou do próprio Estado, expandindo suas capacidades de vigilância. Por outro lado, atores da sociedade civil, comunidade acadêmica e da iniciativa privada defendem o fortalecimento da criptografia, com base nos direitos à privacidade, liberdade de expressão e na segurança dos serviços de comunicação. É importante analisar, portanto, como os esforços legislativos vão manejar essas pressões. Aqui no Brasil, a disputa foi recentemente reaquecida com a apresentação da “LGDP Penal”.
Em novembro de 2020, foi entregue ao então presidente da Câmara dos Deputados, o Deputado Rodrigo Maia (DEM/RJ), o Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução penal por uma comissão de juristas especialistas na matéria, instituído pela presidência daquela Casa em novembro do ano anterior e coordenado pelo ministro do Superior Tribunal de Justiça, Nefi Cordeiro.
O Anteprojeto tem como objetivo atender a demanda da própria Lei Geral de Proteção de Dados, como consta no § 1º do artigo 4 da LGPD:
“O tratamento de dados pessoais previsto no inciso III [realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais] do por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.”
Como fundamentos do Anteprojeto, os responsáveis apontaram a necessidade de base legal que preveja segurança jurídica e bases legais para as atividades de segurança pública e persecução penal que envolvam tratamento de dados pessoais, incluindo a cooperação internacional neste âmbito, e, ao mesmo tempo, proteja as “garantias processuais e os direitos fundamentais dos titulares dos dados”. Em suma, equilibrar a segurança pública e persecução penal com as garantias e direitos dos indivíduos.
O Anteprojeto repercutiu diversamente entre os variados setores interessados, entre críticas e apoios. Alguns setores policiais, por exemplo, manifestaram sua contrariedade: em texto publicado em um blog do Estadão, três lideranças policiais criticaram duramente o anteprojeto, descrevendo-o como um “verdadeiro Código da Impunidade”, dotado de “diversos vícios insanáveis de inconstitucionalidade”. No breve texto, as autoras apontam apenas como um dos vícios inconstitucionais a atribuição, ao Conselho Nacional de Justiça, de realizar o controle externo do acesso aos dados por agentes de segurança pública. Esta função, argumentam, não constaria naquelas que a Constituição Federal definiu ao CNJ, cabendo sim ao Ministério Público (entidade diretamente interessada na matéria, vale frisar). Além disso, apontam a criação de diversas burocracias e procedimentos que iriam atrasar as solicitações de dados às empresas detentoras, aumentando o tempo de resposta das agências de segurança e, consequentemente, facilitando a evasão dos criminosos e aumentando o risco às vítimas.
Por outro lado, entidades da sociedade civil manifestaram apoio ao Anteprojeto. A Coalizão Direitos na Rede, em carta enviada aos então presidentes do Senado, Davi Alcolumbre, e da Câmara dos Deputados, Rodrigo Maia, defendem a proposta, com base na necessidade regulamentar as atividades de tratamento de dados nas atividades de segurança pública e as harmonizar com os princípios de tratamento de dados pessoais, como de proporcionalidade e necessidade. Essa regulamentação é importante, visto que tais atividades nesse âmbito já são realizadas e existe crescente interesse em aplicação de tecnologias de tratamento massivo de dados na segurança pública, como é o caso de tecnologias de reconhecimento de dados biométricos, policiamento preditivo, geolocalização, entre outras, cujos efeitos documentados envolvem discriminação e reprodução de desigualdades sociais. Além disso, ressalta-se a adequação da proposta à LGPD e legislações internacionais, assim como a definição e especificação de mecanismos de transparência e prestação de contas.
Profissionais e organizações de pesquisa também manifestaram opiniões e análises sobre a proposta. O Instituto de Referência em Internet e Sociedade (IRIS), por exemplo, argumentou que o anteprojeto é um pontapé inicial positivo, visto que “parece avançar na direção da construção de um regime regulatório harmônico”. O caráter harmônico do anteprojeto se deveria ao esforço de compatibilizar a LGPD e as normas que organizam a questão do sigilo de dados e de sua quebra. A nota técnica elaborada pelo Data Privacy Brasil oferece um conjunto de sugestões de redação para aumentar a transparência, accountability e participação social no âmbito tratado pelo anteprojeto.
O então presidente da Câmara dos Deputados, Rodrigo Maia, comentou a iniciativa, afirmando que “não é o melhor caminho que o governo seja dono dos dados da sociedade” (…) “[n]ão é bom que ninguém tenha um poder tão grande como o poder dos dados, que hoje são o principal instrumento de poder em uma democracia moderna”.
A razão de ser da LGPD Penal
Influenciado pela LGPD e por legislações europeias e estadunidenses na regulação de atividades de vigilância, o Anteprojeto visa “harmonizar, de um lado, os deveres do Estado na prevenção e na repressão de ilícitos criminais, protegendo a ordem pública; de outro, assegurar a observâncias das garantias processuais e as prerrogativas fundamentais dos cidadãos brasileiros no que tange ao tratamento de dados pessoais para tais fins”. Alinhado com esses objetivos e com suas inspirações, o Anteprojeto é baseado nos princípios de: (I) licitude; (II) finalidade; (III) adequação; (IV) necessidade; (V) proporcionalidade; (VI) livre acesso; (VII) qualidade dos dados; (VIII) transparência; (IX) segurança; (X) prevenção; (XI) não discriminação; e (XII) responsabilização e prestação de contas.
Em sua exposição de motivos, sustenta que o Anteprojeto, entre outras disposições, se propõe a complementar o ‘microssistema legal’ que existe, atualmente, para a suspensão de garantias constitucionais ao sigilo de dados pessoais e comunicações, em diálogo com previsões procedimentais do Código de Processo Penal, da Lei das Interceptações Telefônicas, da Lei Complementar nº 105, do Marco Civil da Internet, entre outras.
Em sua apresentação, ressalta que o Brasil não pode integrar esforços internacionais de investigação, nem se beneficiar dos esforços existentes sem uma adequação mínima à proteção de dados, havendo ainda a possibilidade de invalidação em juízo de provas obtidas através do uso indevido de aplicações tecnológicas para fins de segurança pública e investigação criminal. Ocorre que cidadãos brasileiros não possuem proteção legal consolidada frente à coleta e tratamento de dados por tecnologias de vigilância. E, enquanto isso, o Estado opera através de técnicas não reguladas e de grande potencial ofensivo no que diz respeito à autodeterminação informacional e segurança da informação. De forma bastante residual, acrescentamos, resta a cidadãos já iniciados a possibilidade de uso de tecnologias pontuais de retomada da privacidade (Privacy-enhancing technologies) diante de insuficiência no campo das políticas públicas.
A criptografia sob os olhos da LGPD Penal
Ainda que na redação do Anteprojeto haja apenas uma menção expressa à criptografia, destacamos três pontos que tangem a segurança jurídica sobre a criptografia no Brasil, esta há muito tempo tensionada em decisões judiciais e projetos de lei. O § 3º do artigo 11º, que trata do acesso por autoridades a dados pessoais controlados por atores privados, assim prediz:
Art. 11. O acesso de autoridades competentes a dados pessoais controlados por pessoas jurídicas de direito privado somente ocorrerá mediante previsão legal, respeitados os princípios desta Lei.
(…)
§3º Ressalvadas as hipóteses de dever legal de coleta e de retenção, a pessoa jurídica de direito privado que não coletar ou não mais retiver dados pessoais para a realização de sua atividade econômica ficará desobrigada de fornecer tais dados. (grifo nosso)
Como apontado em nossa última análise,
“Uma interpretação expansiva da parte grifada deve sugerir que bloqueios de aplicativos que não forneçam, no âmbito de investigações criminais, informações por eles não coletadas, não encontrarão mais guarida legal.”
O artigo possui implicações para as investigações criminais que se baseiam, por exemplo, em coleta de conversas realizadas em aplicações de mensageria privada. Geralmente, as aplicações que empregam criptografia ponta-a-ponta não armazenam as mensagens criptografadas, logo ficariam “desobrigadas a fornecer tais dados”, o que agregaria, por exemplo, à tese sobre a ilegalidade dos bloqueios ocorridos com o WhatsApp nos últimos anos. Logo, o dispositivo resolveria o entendimento, ainda em disputa, sobre a responsabilidade de plataformas em caso de incapacidade técnica em fornecer o “texto puro” de comunicações encriptadas ponta-a-ponta.
Nos casos em que a criptografia ponta-a-ponta não é empregada por padrão (como em aplicativos como o Telegram ou Messenger), o provedor estaria passível de ser obrigado, por ordem judicial, a ceder dados de conversas pessoais. Caso a aplicação se negue a disponibilizar essas informações, poderemos observar um inédito bloqueio do Telegram no Brasil.
Portanto, seria necessário sublinhar dois pontos:
- aplicativos com criptografia ponta-a-ponta, por não reterem as mensagens, estariam, assim, desobrigados a cederem esses dados;
- mesmo assim, haveria obrigação de fornecer mensagens não encriptadas ponta-a-ponta e backups de conversas dos usuários que sejam armazenadas no Google Drive e iCloud, por exemplo, ou no próprio servidor do provedor da aplicação de mensageria, sob pena de sanção.
Também dizem respeito à criptografia dispositivos que buscam regular o sigilo e a segurança no tratamento de dados pessoais para fins de investigação criminal e segurança pública. Tratam de medidas que devem ser observadas pelos agentes do Estado a fim de atender a princípios como o da segurança da informação e o da prevenção. O art. 36 aponta que
Art. 36. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º O Conselho Nacional de Justiça poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do artigo 6º desta Lei.
§ 2º Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
A exposição de motivos, que compõe o anteprojeto, fundamenta este artigo em específico:
“Como destacado, a parte relativa à segurança e ao sigilo de dados teve forte influência da Diretiva 680/2016. Nesse contexto, no artigo 36, está prescrito um extenso rol de medidas que devem ser adotadas para fins de proteção de dados contra possíveis violações, à guisa de exemplo: controle de acesso ao equipamento, controle dos utilizadores e controle do acesso aos dados. Ademais, em um grande passo para a modernização desse tema no país, o artigo 37 traz os conceitos de privacy by design e privacy by default para o contexto da proteção de dados em matéria penal.”
É possível observar que o artigo atribui ao CNJ a responsabilidade por definir os padrões técnicos mínimos de segurança da informação tratada pelos agentes e instituições no âmbito aqui discutido. Existe a possibilidade, portanto, que o órgão defina padrões de criptografia mínimos para dados em repouso e fluxo de dados entre setores de investigação e segurança pública contra acessos e uso não autorizados.
O artigo 42, por sua vez, inicia a seção sobre tecnologias de vigilância tratando das medidas de segurança da informação sobre dados coletados e tratados por essas tecnologias, trazendo a única menção expressa à criptografia de todo o Anteprojeto. Em sua fundamentação, é indicado que:
“Outro eixo relevante do anteprojeto diz respeito ao conceito de tecnologia de monitoramento, compreendida como equipamento, programa de computador ou sistema informático que possa ser usado ou implementado para tratamento de dados pessoais captados ou analisados em vídeo, imagem, texto ou áudio, condicionada sempre a previsão legal específica, análise de impacto regulatório e a relatório de impacto à proteção de dados (art. 42). Os critérios para identificação de utilizações deste tipo de tecnologia que representem alto risco estão expressos no §1º desse dispositivo, que traz a natureza dos dados envolvidos, as finalidades específicas do tratamento ou mesmo a possibilidade de tratamento discriminatório como critérios mínimos para tal avaliação. Como antecipado, trata-se de abordagem regulatória que tem inspiração em legislações americanas modernas, sobretudo da cidade de Nova York e do estado de Washington.“ (grifo nosso)
Nessa linha, o artigo é organizado por princípios que também guiam o artigo 36, isso é, de segurança da informação e prevenção. Além disso, também defende a possibilidade de uso dessas tecnologias a partir dos princípios de licitude, finalidade, proporcionalidade, necessidade, não-discriminação, transparência e prestação de contas.
Art. 42. A utilização de tecnologias de monitoramento ou o tratamento de dados pessoais que representem elevado risco para direitos, liberdades e garantias dos titulares dos dados por autoridades competentes dependerá de previsão legal específica, que estabeleça garantias aos direitos dos titulares e seja precedida de relatório de impacto de vigilância.
(…)
§ 3º A lei deve estabelecer política de uso que garanta os direitos dos titulares de dados e contenha:
(…)
II – salvaguardas ou medidas de segurança destinadas a proteger as informações coletadas por tal tecnologia de vigilância contra o acesso não autorizado, incluindo, mas não se limitando à existência de criptografia e mecanismos de controle de acesso;
É fácil lembrar das consequências resultantes do uso não autorizado ou da guarda indevida, por parte de setores governamentais, de tecnologias de vigilância de alto impacto aos direitos e liberdades dos titulares de dados. Em 2017, o EternalBlue, programa desenvolvido pela National Security Agency (NSA), foi vazado e deu origem ao ransomware de impacto global WannaCry. No mesmo ano, material vazado pelo WikiLeaks divulgou documentos governamentais que denunciavam o arsenal de tecnologias de espionagem da Central Intelligence Agency (CIA), o que ilustra um caso de armazenamento de informações sigilosas que deixa a desejar e que põem em risco a segurança de toda uma coletividade.
Entende-se, portanto, que protocolos de criptografia robustos são incluídos como medida fundamental à restrição do acesso a tais ferramentas e, consequentemente, para a proteção das informações coletadas. Por extensão, é possível interpretar que a criptografia também poderia ser aplicável ao tratamento de dados pessoais, objeto do artigo 36, a depender de decisões em tal sentido pelas autoridades responsáveis, como o CNJ, e podem passar a ser elemento chave de demonstração de cuidados para amortizar efeitos indesejados através da publicação dos relatórios de impacto de vigilância.
O reconhecimento da criptografia como ferramenta chave para segurança da informação e prevenção de danos é um ponto de partida importante para sua manutenção tanto enquanto ferramenta acessível para usuários de diversos serviços, como aqueles de mensageria, como para a restrição de acesso a tecnologias cuja natureza é precisamente a exploração de vulnerabilidades. É difícil imaginar um microssistema legal onde a criptografia seria proibida ou limitada para a população e, simultaneamente, obrigatória para agências de investigação e segurança pública.
O Anteprojeto oferece condições favoráveis para a manutenção do uso da criptografia em serviços cotidianos, como aqueles de mensageria privada, mas também pela sua implantação nas próprias atividades de segurança pública e persecução penal realizadas pelos agentes do Estado, o que, na prática, contribui para segurança dos usuários e titulares de dados em tratamento contra violações e acessos não-autorizados a dados pessoais sensíveis. Apesar disso, há ainda esforços contrários a essa manutenção da criptografia em serviços amplamente utilizados, sob o argumento de que “dificulta atividades de policiais e de justiça criminal”.
Por outro lado, é necessário investigar a interação deste Anteprojeto com o microssistema legal brasileiro que rege a suspensão da proteção ao sigilo sobre dados pessoais no âmbito da segurança pública e justiça criminal, bem como a forma como ocorre, na prática, os procedimentos que envolvem o tratamento de dados pessoais em investigações e prevenção de crimes. Essas questões podem ser importantes para se estabelecer o ritmo da tramitação da proposta em ambas as casas legislativas federais.
