Por André Ramiro
Pairam sobre 2021 possibilidades de renovação sobre como encaramos a criptografia no horizonte jurídico e legislativo no país. Ao mesmo tempo, há chance de revermos antigas ameaças que retrocedem em termos de segurança e privacidade. O que nos espera?
Dos fatores que conectam, em retrospectiva, as fronteiras entre políticas públicas, tecnologias e direitos fundamentais – acompanhando as transformações e expansão da Internet comercial, a fabricação de objetos conectados e a digitalização de serviços públicos e privados – a criptografia se apresenta como moto-contínuo. O amadurecimento da tutela da privacidade, da liberdade de expressão, da segurança e dos direitos conexos aos usuários no contexto da Internet passa, necessariamente, pela revisão dos fatos políticos, processos judiciais, leis e projetos de lei que, de uma forma ou de outra, têm por objeto a criptografia.
Breve retrospectiva: bloqueios, responsabilidade de intermediários e a geopolítica da criptografia
No Brasil, essas disputas são amplamente documentadas. Em princípio, a ênfase sobre a legalidade de interceptação de comunicações já faz parte do repertório de debates públicos em, tendo gerado ao Brasil uma condenação em corte internacional, uma Comissão Parlamentar de Inquérito na Câmara dos Deputados e um Projeto de Lei que propôs tornar mais rígido o controle sobre o uso de técnicas de encriptação e decriptação das comunicações. O Marco Civil da Internet (MCI), lei paradigmática no campo dos direitos digitais e parâmetro legal inicial para o uso da rede no país, é resultado direto de revelações, em 2013, de práticas de vigilância global cujos termos envolviam um massivo programa de quebra de algoritmos criptográficos.
Mais recentemente, novas roupagens legislativas surgiram como forma de criar brechas em sistemas criptográficos e tornar legal o acesso a comunicações encriptadas. Para ilustrar, em estudo publicado pelo IP.rec, em 2020, foram apontados Projetos de Lei que, por exemplo, buscavam autorizar delegados de polícia a acessar, independente de autorização judicial, comunicações encriptadas ou, ainda, iniciativas que poderiam criar o condão de criminalizar, de forma genérica, provedores que disponibilizassem criptografia caso eventualmente utilizada no curso do cometimento de crimes.
Ainda mais próximo do cenário presente, o Projeto de Lei nº 2630, o “PL das Fake News”, trouxe novos mecanismos que teriam o potencial de driblar requisitos centrais à segurança criptográfica. Sugeria que “conteúdos desinformativos” deveriam ser assinalados previamente aos usuários, o que, à primeira vista, poderia significar a “intermediação” das comunicações, pondo em xeque a criptografia ponta a ponta das principais tecnologias utilizadas na maioria dos aplicativos de mensageria no Brasil. Seria possível dizer que diferentes investidas encontram, no campo do processo legislativo, narrativas multifacetadas que se inserem em renovados contextos tecnológicos e sociopolíticos – seja o combate ao terrorismo, à desinformação ou à corrupção.
No campo judicial, três bloqueios judiciais de aplicativos no país ocorreram entre 2015 e 2016, causando grande controvérsia legal sobre o descumprimento a ordens judiciais de acesso a comunicações encriptadas. Os casos acenderam o sinal amarelo no que diz respeito à responsabilidade e segurança jurídica de provedores que utilizassem criptografia ponta-a-ponta em seus serviços, reanimando o debate sobre a legalidade da criptografia no país. Nesse contexto, duas ações foram levadas ao Supremo Tribunal Federal (ainda em andamento), o qual convocou uma Audiência Pública valiosa para o debate, congregando setor público, privado, entidades da sociedade civil e acadêmicos para dois dias de exposições. Em voto recente, no bojo das ações, a Ministra Rosa Weber concluiu que “o Estado não pode compelir o aplicativo a oferecer serviço de forma menos segura com o pretexto de usar essa vulnerabilidade para acessar dados em investigações criminais”. Uma assertiva que ficará para os anais das políticas de criptografia no Brasil e que já cria terreno para futuras políticas nacionais de privacidade e sigilo das comunicações no contexto de processos penais.
Interessa pensar que, dado o caráter transfronteiriço da Internet e de suas aplicações, políticas que afetem a criptografia potencialmente teriam efeitos colaterais que alcançariam outras jurisdições e territórios. Em estudo publicado pela Hoover Institution (2018), foi demonstrado que restrições à criptografia, derivadas de regulação doméstica de um dado país, impactam políticas privadas de plataformas que operam em escala internacional. Uma vez que plataformas tendem a unificar suas políticas de privacidade e acesso às comunicações, outros países tenderiam, igualmente, a exigir restrições à criptografia. Importa, portanto, para o debate brasileiro, como estas regulações estão sendo construídas em outras localidades, sobretudo quando não atendem a parâmetros que garantam o devido processo legal, o ecossistema de segurança da rede e a garantia ao sigilo das comunicações.
No plano internacional, algumas iniciativas ilustram políticas de criptografia que merecem atenção. A Austrália aprovou, em 2018, a Assistance and Access Act, permitindo que agências de inteligência e investigação demandem “assistência” a provedores para que dados e mensagens criptografadas sejam acessadas. Dois anos depois, acadêmicos explicam que a medida provocou pouca eficácia e, ao mesmo tempo, seguem infringindo a proteção a direitos no país. No centro do debate sobre criptografia na Índia, está uma proposta de emenda à Information Technology (Intermediaries Guidelines) Rules para tornar viável a “rastreabilidade” de mensagens, o que, segundo dezenas de especialistas e organizações, poderá, entre outras consequências, comprometer sistemas com criptografia ponta a ponta e, consequentemente, o ecossistema de direitos e segurança da rede.
Mais recentemente, a União Europeia estabeleceu prioridades, em sua estratégia para o combate contra abuso sexual infantil, que envolvem, por exemplo, uma “pré-filtragem” de conteúdos encriptados (detalhes técnicos podem ser conferidos em documentos da European Digital Rights). Já classificada de “um backdoor” chamado por outro nome, a proposta “boicotaria”, ao fim do dia, as proteções fornecidas pela criptografia, além de abrir margem, inevitavelmente, à filtragem de conteúdos de outra natureza. E, da parte dos Estados Unidos, epicentro do debate nos últimos trinta anos, o Departamento de Justiça tem endossado Projeto de Lei (o EARN IT Act) que, entre vários problemas, esvaziam a imunidade de provedores de aplicação, atualmente garantida, caso não obedeçam ordens de cessão de comunicações encriptadas. Outra iniciativa, a Lawful Access to Encrypted Data Act, também persegue a aprovação de dispositivos legais que obrigariam provedores de aplicação a criarem backdoors em seus sistemas. A tônica permanece a mesma e, segundo analistas, esse dois projetos irão protagonizar as políticas de criptografia no cenário norte-americano.
A análise dessa geopolítica expandida e multicamada da criptografia pode sugerir que seria razoável esperar reflexos diretos, em processos legislativos e judiciais em território brasileiro, de obstáculos à segurança jurídica à criptografia. Em outras palavras, há riscos de que projetos de lei brasileiros se espelhem em legislações que não dimensionam a complexidade de direitos e infraestruturas de segurança dependentes da criptografia. Então, as perguntas seguem de pé: aplicativos de mensageria manteriam diferentes políticas privadas, em diferentes jurisdições, quanto ao acesso ao conteúdo das comunicações encriptadas por agências de investigação? Como unificar um procedimento que atenda a garantias aos direitos humanos e a distintas previsões legais?
Expectativa: nosso horizonte é garantista ou veremos antigos confrontos?
Ainda que a ampla literatura e o entendimento das cortes superiores tenham fortalecido a segurança jurídica sobre plataformas que empregam criptografia no país, os processos judiciais e as políticas legislativas para 2021 sugerem um novo fôlego.
As ações que tramitam no STF, acima narradas (a saber, ADPF nº 403 e ADI 5527), ainda seguem inconclusivas. Após os votos dos Ministros Edson Fachin e Rosa Weber, em clara direção alinhada com a proteção à criptografia, restam ainda os votos de três ministros, entre eles Alexandre de Moraes, cuja reputação o aproxima de medidas de expansão às capacidades investigativas policiais e da responsabilização de plataformas, como em seu apoio aos bloqueios do WhatsApp e articulação de propostas para o acesso a comunicações encriptadas. Logo, o precedente segue em aberto.
No mapa legislativo do ano, a agenda de privacidade e proteção de dados irá girar em torno do Anteprojeto de Lei de Proteção de Dados no âmbito de investigações criminais e segurança pública (“LGPD Penal”). O Anteprojeto, à primeira vista, busca constituir uma previsão legal que, nas entrelinhas, endereça a segurança jurídica de provedores no que diz respeito à criptografia:
Art. 11. O acesso de autoridades competentes a dados pessoais controlados por pessoas jurídicas de direito privado somente ocorrerá mediante previsão legal, respeitados os princípios desta Lei.
(…)
§3º Ressalvadas as hipóteses de dever legal de coleta e de retenção, a pessoa jurídica de direito privado que não coletar ou não mais retiver dados pessoais para a realização de sua atividade econômica ficará desobrigada de fornecer tais dados. (grifo nosso)
Uma interpretação expansiva da parte grifada deve sugerir que bloqueios de aplicativos que não forneçam, no âmbito de investigações criminais, informações por eles não coletadas, não encontrarão mais guarida legal.
A criptografia deverá ser identificada, também, enquanto elemento tecnológico propositivo de políticas de segurança e privacidade das agências de investigação e segurança pública. O Conselho Nacional de Justiça (CNJ), enquanto entidade fiscalizadora proposta pelo Anteprojeto, poderá exigir criptografia sofisticada para se alcançar o sigilo sobre o armazenamento e fluxo de dados dos titulares, como suspeitos e investigados.
Além disso, a aguardada atuação da Autoridade Nacional de Proteção de Dados (ANPD) poderá vir a conduzir processos administrativos que digam respeito à apuração de incidentes envolvendo políticas e procedimentos de segurança na meia-vida do tratamentos de dados, a qual passa, fundamentalmente, pelo armazenamento e fluxo de dados com o emprego de criptografia. Essa análise pode ser uma das chaves para apurar futuros incidentes de segurança, a exemplo do que ocorreu com o Banco Inter, Detran ou, mais recentemente, com o maior vazamento de dados da história do país. Isso pode sinalizar, também, uma atuação administrativa de braços dados com o CNJ (seria ideal, por exemplo, que as expectativas sobre os requisitos de segurança criptográfica, em ambos os contextos de tratamento de dados, estejam minimamente alinhadas).
Criptografia e pandemia
Nenhuma agenda de políticas de tecnologia escapa à observação de medidas de mitigação de riscos derivados da pandemia, na medida em que se multiplicam propostas de solução tecnológica para atendimento remoto, rastreamento de contatos (alertas de possível contágio com base no cruzamento de sinais de bluetooth com pessoas infectadas) ou medição de índices de isolamento (mapas de calor gerados, por exemplo, por dados de geolocalização). Aqui, falamos de uma multiplicidade de dados que vão desde a geolocalização em tempo real e histórico de deslocamento a bancos de dados sensíveis, como diagnósticos médicos e consumo de medicamentos. Os procedimentos de segurança das ferramentas de combate à pandemia, sejam com armazenamento dos dados nos próprios dispositivos ou em servidores centralizados, deverão ser capazes de demonstrar o emprego de protocolos de criptografia que protejam os direitos da coletividade em caso de eventuais incidentes de segurança.
Programas de vacinação, igualmente, parecem exigir uma espessa camada de segurança para a informatização de dados da população, uma vez que serão geradas robustas estatísticas e credenciais de imunização (inclusive digitais), elementos centrais para as métricas de execução de políticas públicas de saúde no contexto da pandemia. O comprometimento da integridade de bancos de dados construídos em centros hospitalares e postos de vacinação públicos, ou mesmo da autenticidade das credenciais de vacinação individuais, em razão de protocolos criptográficos frágeis, poderia aprofundar a falta de transparência e confiabilidade de dados de saúde no país. Mais uma vez, regras de segurança que tomam como prioritárias ferramentas de criptografia serão (e já são) essenciais.
Inevitavelmente, o isolamento necessário à mitigação de riscos sanitários leva à virtualização dos serviços públicos e das relações privadas. Para além disso, relações interpessoais, ações de associação e reunião política de coletividades, canais de comunicação entre o cidadão e o Estado e mesmo o gerenciamento de infraestruturas críticas constituem uma realidade que estica, de forma exponencial, nossa dependência de redes conectadas. Para encarar essas questões, políticas de criptografia públicas e privadas deverão ser encaradas na agenda política do país ao decorrer de 2021, seja no legislativo ou judiciário, na esfera penal, cível ou administrativa. E, claro, o Observatório da Criptografia estará atento às ramificações desse debate.