Recentemente, a Global Encryption Coalition, coalizão da qual o Instituto de Pesquisa em Direito e Tecnologia (IP.rec) é signatário, publicou nota crítica ao texto do relator João Campos (Republicanos – GO) do projeto da Reforma do Código de Processo Penal. Dentre os problemas, a nota assinada por 31 entidades aponta como o projeto de lei abre as portas para o enfraquecimento da criptografia, coleta massiva de dados e normalização do government hacking sem supervisão ou controle. É imprescindível detalhar como e por quê essas características são problemáticas, visto que o recém criado Grupo de Trabalho da Câmara Federal parece caminhar na mesma direção e tende a cometer os mesmos erros.
Brechas na criptografia: menos confiança e segurança
O texto do relator João Campos criava a brecha para que os fornecedores de aplicações fossem obrigados a prover às forças de persecução penal os meios para acessar, analisar e, especificamente, “decodificar” dados e informações que circulam em seus serviços. Não é a primeira vez que uma legislação brasileira ameaça enfraquecer a segurança digital sob o pretexto de aumentar as capacidades investigativas. No caso da criptografia ponta-a-ponta – técnica essencial para proteção da informação, da privacidade e da liberdade de expressão dos usuários – isso pode implicar na obrigatoriedade, por parte dos serviços de mensageria, como o Whatsapp, Signal e Telegram, a criarem portas alternativas de acesso às comunicações privadas – ou backdoors – o que, na prática, significa deixar de ser ponta-a-ponta, reduzindo largamente seu potencial de segurança.
Além dos enormes custos operacionais para redesenhar todos esses sistemas, tal mudança iria fragilizar toda a cadeia de usuários desses serviços, desde empresas, passando por autoridades governamentais, atores políticos e chegando até às pessoas comuns, pois cria uma falha intencional que corre grande risco de ser explorada por agentes maliciosos. Não bastando ser impossível garantir que apenas agentes legítimos utilizarão essas “portas ocultas” de acesso às comunicações privadas, a criação de tal acesso aumenta os ganhos potenciais e reduz os custos da violação mal intencionada. Afinal, o êxito em explorar tais falhas significa acesso às comunicações de milhares ou milhões de usuários – só o Whatsapp, por exemplo, está instalado em 99% dos smartphones brasileiros. Nesse cenário, estão em risco informações valiosas para atividades econômicas das empresas, para a segurança individual e, até, para a segurança do Estado e segurança nacional. Se essas portas forem criadas, não será possível garantir quem terá acesso.
Hacking e coleta de dados pelo Estado: sem controle e com alcance?
Outro elemento crítico é o tratamento dado à prática do hacking governamental e, em geral, às ferramentas de coleta massiva de dados por agentes do Estado. Sem especificar e detalhar formas de interceptação e acesso forçado a sistemas, redes e dispositivos, o texto cria um “status legal” ainda inseguro e imaturo sobre práticas que, atualmente, mobilizam amplos debates internacionais e apontam para os riscos à segurança de sistemas conectados e frequentemente se associam a riscos aos direitos humanos.. Na prática, estaria relegando às próprias instituições de persecução penal o poder de regular suas atividades neste âmbito, legitimando esforços estatais de vigilância e controle abusivos que vêm sendo denunciados por seu uso contra ativistas e jornalistas ao redor do mundo.
Igualmente grave é a possibilidade de que a exploração de sistemas permita as fishing expeditions – investigações sem objetivos específicos, contrariando o devido processo penal, onde se analisa todos os dados coletados durante a invasão do sistema. O projeto previa poucas ou nenhuma obrigações e exigências necessárias à segurança diante da exploração de vulnerabilidades de sistemas por agentes da lei, o que contraria as melhores práticas ao redor do mundo.
Se os ganhos para aplicação da lei forem menores que os custos à sociedade, as agências de law enforcement não podem ter o direito de fazê-lo. Ainda mais quando sabemos que dependemos, enquanto sociedade, cada vez mais desses sistemas para as atividades elementares das nossas vidas. Portanto, iniciativas que busquem legislar sobre processo penal, tendo em vista sua modernização e o uso de novas tecnologias para a produção de provas, devem observar estritamente as garantias aos direitos fundamentais dos brasileiros, evitando expedientes desproporcionais e de alto impacto à segurança da coletividade.