Grupo de Trabalho da Reforma do Código de Processo Penal: cidadãos devem estar protegidos contra backdoors na criptografia, coleta de dados massiva e hacking governamental desmedido
Originalmente publicada em 28 de junho de 2021 no portal da Global Encryption Coalition
À luz dos recentes avanços no debate legislativo sobre a reforma do Código de Processo Penal Brasileiro, os que estão abaixo assinados, que incluem membros da Global Encryption Coalition – uma aliança global com múltiplas partes interessadas com o objetivo de promover e defender a criptografia, expressam suas preocupações sobre os riscos decorrentes desses andamentos para a criptografia e segurança dos usuários, que podem impactar negativamente os direitos fundamentais, a economia digital, a segurança pública e a segurança nacional não só no Brasil, mas em vários países.
A criptografia é um recurso que protege a privacidade, a segurança e a liberdade de expressão de bilhões de pessoas em um mundo onde as interações são cada vez mais digitais. Esta proteção não se limita ao cidadão comum, mas também se estende às transações digitais e às comunicações das autoridades públicas em exercício de suas funções oficiais. Ao salvaguardar a integridade, confidencialidade e autenticidade das trocas de informações digitais, a criptografia promove a confiança necessária para o desenvolvimento do ambiente digital e protege a segurança pública e nacional em países ao redor do mundo.
A reforma do Código de Processo Penal em tramitação no Congresso brasileiro chama a atenção para um complexo debate sobre a modernização do processo penal frente aos novos desafios colocados pelos avanços tecnológicos. O texto publicado em 26 de abril por meio de parecer consultivo do relator, parlamentar João Campos, levanta preocupações internacionais sobre a possibilidade de danos à criptografia e à segurança de usuários, empresas e autoridades no Brasil e em outros países. As principais questões preocupantes são as disposições relativas à interceptação telemática e à exploração de vulnerabilidades tecnológicas pela aplicação da lei para a produção de provas criminais – um conjunto de práticas conhecidas como “hacking governamental”.
No que diz respeito às interceptações telemáticas, os artigos 288º e 305º da proposta podem impor aos fornecedores de aplicações a obrigação de disponibilizarem livremente os meios e recursos tecnológicos necessários à realização das interceptações. No contexto de aplicativos de mensagens privadas protegidos com criptografia ponta a ponta – como o WhatsApp, um aplicativo instalado em 99% dos smartphones no Brasil – isso pode significar uma obrigação de redesenhar o sistema para introduzir uma falha de segurança inserida para exploração sistemática – uma porta dos fundos – pelas agências de aplicação da lei.
Uma alteração dessa natureza prejudicaria a segurança do serviço e colocaria todos os usuários em risco. Não só é um consenso cientificamente estabelecido no campo da segurança da informação que é impossível garantir que um backdoor só seja explorado legalmente e por atores legítimos, mas a implementação dessa falha exigiria a reversão das melhores práticas em segurança da informação, como o forward secrecy – uma técnica em que novas chaves são negociadas a cada transação para reduzir os danos resultantes caso o sitema seja comprometido. Ou seja, a mudança não só criaria uma vulnerabilidade de segurança que poderia ser potencialmente explorada por governos estrangeiros e cibercriminosos, mas também daria fortes incentivos para que essa exploração realmente se concretizasse, aumentando os ganhos prospectivos de invasores em potencial. Isso prejudica uma série de direitos fundamentais, bem como a confiança nos serviços de informação e seus provedores no Brasil, com sérios potenciais impactos para a economia e capacidade de inovação em áreas-chave para o desenvolvimento digital do país, como internet banking, e-commerce e transporte.
Além disso, a aplicação dessa exigência pode ter repercussões jurídicas e econômicas não apenas no Brasil, mas em outros países. Vale lembrar que a paralisação judicial do WhatsApp no Brasil em 2015 afetou os usuários do aplicativo na Argentina, Chile, Uruguai e Venezuela, representando um excesso indevido de jurisdição. Devido à natureza global dos serviços oferecidos na internet, a manutenção da segurança e estabilidade da rede depende de soluções coordenadas. Portanto, os arranjos técnicos e regulatórios adotados por um país podem impactar vários outros. Nesse cenário, cabe destacar que o Conselho de Direitos Humanos da ONU, por meio da Resolução (A/HRC/38/L.10/Rev.1), expressamente solicitou aos Estados a não interferirem na utilização de soluções técnicas para proteger o sigilo de comunicações digitais, como criptografia.
Sob a premissa de melhorar a eficácia do procedimento penal, o texto promove a retenção indeterminada de dados e pavimenta o caminho para o hacking governamental. Além disso, a linguagem adotada quanto às evidências eletrônicas visa permitir que as agências de aplicação da lei tenham acesso aos dados a nível da camada de infraestrutura, tornando alvos provedores de Internet, sem qualquer mecanismo de proporcionalidade. Ao acolher disposições acerca da possibilidade de vigilância contínua sobre indivíduos investigados e acesso a dados armazenados fora do país, a versão atual do projeto de lei falha em atualizar o processo penal brasileiro para a era digital e apresenta sérias ameaças às garantias constitucionais e ao devido processo legal.
Em uma das maiores ameaças aos direitos fundamentais, o texto do novo Código de Processo Penal pode legitimar práticas governamentais de hacking e fishing expeditions. Linguagem genérica como “coleta remota”, “dados em repouso acessados à distância”, “acesso forçado ao sistema de computador” e “processamento em código aberto” pode ser responsável por facilitar o acesso por meio de tecnologias de vigilância e pode acabar abrindo grandes brechas para abusos incontroláveis do poder estatal, como espionar jornalistas e ativistas, e para enfraquecer a segurança e a confiança em sistemas computacionais.
Nesta nota, as entidades abaixo assinadas convocam o Congresso Brasileiro a continuar a discutir a seção de provas eletrônicas do texto preliminar mencionado acima, a fim de evitar a continuidade de violações à privacidade e o enfraquecimento da segurança dos usuários online. O país deve reforçar a necessidade de que as atividades de aplicação da lei sejam conduzidas de forma proporcional e respeitando os direitos, evitando afetar os serviços online ou a infraestrutura da Internet.
Atenciosamente,
Association for Proper Internet Governance (Geneva, Switzerland)
Center for Democracy & Technology
Coalizão Direitos na Rede
Coding Rights
Data Privacy Brasil Research
Derechos Digitales · América Latina
Electronic Frontier Foundation
Electronic Privacy Information Center
Fundación Karisma
Global Partners Digital
IBIDEM – Instituto Beta: Internet & Democracia
InternetBolivia.org Foundation
Instituto Liberdade Digital
Internet Society Brazil Chapter
Internet Society Dominican Republic Chapter
Internet Society Ecuador Chapter
Internet Society Panama Chapter
Internet Society Portuguese Chapter ISOC.pt
Internet Society Uruguay Chapter
Intervozes – Coletivo Brasil de Comunicação Social
IP.rec – Law and Technology Research Institute of Recife
IRIS – Institute for Research on Internet & Society
JCA-NET(Japan)
LAPIN – Laboratory of Public Policy and Internet
MEGA The Privacy Company
New America’s Open Technology Institute
R3D: Red en Defensa de los Derechos Digitales
Software Freedom Law Center
The Tor Project
Tutanota
Ubunteam
