Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Grupo de Trabalho da Reforma do Código de Processo Penal: cidadãos devem estar protegidos contra backdoors na criptografia, coleta de dados massiva e hacking governamental desmedido

Originalmente publicada em 28 de junho de 2021 no portal da Global Encryption Coalition

À luz dos recentes avanços no debate legislativo sobre a reforma do Código de Processo Penal Brasileiro, os que estão abaixo assinados, que incluem membros da Global Encryption Coalition – uma aliança global com múltiplas partes interessadas com o objetivo de promover e defender a criptografia, expressam suas preocupações sobre os riscos decorrentes desses andamentos para a criptografia e segurança dos usuários, que podem impactar negativamente os direitos fundamentais, a economia digital, a segurança pública e a segurança nacional não só no Brasil, mas em vários países.

A criptografia é um recurso que protege a privacidade, a segurança e a liberdade de expressão de bilhões de pessoas em um mundo onde as interações são cada vez mais digitais. Esta proteção não se limita ao cidadão comum, mas também se estende às transações digitais e às comunicações das autoridades públicas em exercício de suas funções oficiais. Ao salvaguardar a integridade, confidencialidade e autenticidade das trocas de informações digitais, a criptografia promove a confiança necessária para o desenvolvimento do ambiente digital e protege a segurança pública e nacional em países ao redor do mundo.

A reforma do Código de Processo Penal em tramitação no Congresso brasileiro chama a atenção para um complexo debate sobre a modernização do processo penal frente aos novos desafios colocados pelos avanços tecnológicos. O texto publicado em 26 de abril por meio de parecer consultivo do relator, parlamentar João Campos, levanta preocupações internacionais sobre a possibilidade de danos à criptografia e à segurança de usuários, empresas e autoridades no Brasil e em outros países. As principais questões preocupantes são as disposições relativas à interceptação telemática e à exploração de vulnerabilidades tecnológicas pela aplicação da lei para a produção de provas criminais – um conjunto de práticas conhecidas como “hacking governamental”.

No que diz respeito às interceptações telemáticas, os artigos 288º e 305º da proposta podem impor aos fornecedores de aplicações a obrigação de disponibilizarem livremente os meios e recursos tecnológicos necessários à realização das interceptações. No contexto de aplicativos de mensagens privadas protegidos com criptografia ponta a ponta – como o WhatsApp, um aplicativo instalado em 99% dos smartphones no Brasil – isso pode significar uma obrigação de redesenhar o sistema para introduzir uma falha de segurança inserida para exploração sistemática – uma porta dos fundos – pelas agências de aplicação da lei.

Uma alteração dessa natureza prejudicaria a segurança do serviço e colocaria todos os usuários em risco. Não só é um consenso cientificamente estabelecido no campo da segurança da informação que é impossível garantir que um backdoor só seja explorado legalmente e por atores legítimos, mas a implementação dessa falha exigiria a reversão das melhores práticas em segurança da informação, como o forward secrecy – uma técnica em que novas chaves são negociadas a cada transação para reduzir os danos resultantes caso o sitema seja comprometido. Ou seja, a mudança não só criaria uma vulnerabilidade de segurança que poderia ser potencialmente explorada por governos estrangeiros e cibercriminosos, mas também daria fortes incentivos para que essa exploração realmente se concretizasse, aumentando os ganhos prospectivos de invasores em potencial. Isso prejudica uma série de direitos fundamentais, bem como a confiança nos serviços de informação e seus provedores no Brasil, com sérios potenciais impactos para a economia e capacidade de inovação em áreas-chave para o desenvolvimento digital do país, como internet banking, e-commerce e transporte.

Além disso, a aplicação dessa exigência pode ter repercussões jurídicas e econômicas não apenas no Brasil, mas em outros países. Vale lembrar que a paralisação judicial do WhatsApp no Brasil em 2015 afetou os usuários do aplicativo na Argentina, Chile, Uruguai e Venezuela, representando um excesso indevido de jurisdição. Devido à natureza global dos serviços oferecidos na internet, a manutenção da segurança e estabilidade da rede depende de soluções coordenadas. Portanto, os arranjos técnicos e regulatórios adotados por um país podem impactar vários outros. Nesse cenário, cabe destacar que o Conselho de Direitos Humanos da ONU, por meio da Resolução (A/HRC/38/L.10/Rev.1), expressamente solicitou aos Estados a não interferirem na utilização de soluções técnicas para proteger o sigilo de comunicações digitais, como criptografia.

Sob a premissa de melhorar a eficácia do procedimento penal, o texto promove a retenção indeterminada de dados e pavimenta o caminho para o hacking governamental. Além disso, a linguagem adotada quanto às evidências eletrônicas visa permitir que as agências de aplicação da lei tenham acesso aos dados a nível da camada de infraestrutura, tornando alvos provedores de Internet, sem qualquer mecanismo de proporcionalidade. Ao acolher disposições acerca da possibilidade de vigilância contínua sobre indivíduos investigados e acesso a dados armazenados fora do país, a versão atual do projeto de lei falha em atualizar o processo penal brasileiro para a era digital e apresenta sérias ameaças às garantias constitucionais e ao devido processo legal.

Em uma das maiores ameaças aos direitos fundamentais, o texto do novo Código de Processo Penal pode legitimar práticas governamentais de hacking e fishing expeditions. Linguagem genérica como “coleta remota”, “dados em repouso acessados à distância”, “acesso forçado ao sistema de computador” e “processamento em código aberto” pode ser responsável por facilitar o acesso por meio de tecnologias de vigilância e pode acabar abrindo grandes brechas para abusos incontroláveis do poder estatal, como espionar jornalistas e ativistas, e para enfraquecer a segurança e a confiança em sistemas computacionais.

Nesta nota, as entidades abaixo assinadas convocam o Congresso Brasileiro a continuar a discutir a seção de provas eletrônicas do texto preliminar mencionado acima, a fim de evitar a continuidade de violações à privacidade e o enfraquecimento da segurança dos usuários online. O país deve reforçar a necessidade de que as atividades de aplicação da lei sejam conduzidas de forma proporcional e respeitando os direitos, evitando afetar os serviços online ou a infraestrutura da Internet.

Atenciosamente,

Association for Proper Internet Governance (Geneva, Switzerland)

Center for Democracy & Technology

Coalizão Direitos na Rede

Coding Rights

Data Privacy Brasil Research

Derechos Digitales · América Latina

Electronic Frontier Foundation

Electronic Privacy Information Center

Fundación Karisma

Global Partners Digital 

IBIDEM – Instituto Beta: Internet & Democracia

InternetBolivia.org Foundation

Instituto Liberdade Digital

Internet Society Brazil Chapter

Internet Society Dominican Republic Chapter

Internet Society Ecuador Chapter

Internet Society Panama Chapter

Internet Society Portuguese Chapter ISOC.pt

Internet Society Uruguay Chapter

Intervozes – Coletivo Brasil de Comunicação Social

IP.rec – Law and Technology Research Institute of Recife

IRIS – Institute for Research on Internet & Society

JCA-NET(Japan)

LAPIN – Laboratory of Public Policy and Internet

MEGA The Privacy Company

New America’s Open Technology Institute

R3D: Red en Defensa de los Derechos Digitales

Software Freedom Law Center

The Tor Project

Tutanota

Ubunteam

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *