Akriti Bopanna
Policy and Advocacy Manager da Internet Society (ISOC), baseada na India
Diego R. Canabarro
Senior Regional Policy Manager da Internet Society, Latin America e Caribe, baseado no Brasil
As opiniões expressas aqui são pessoais e não refletem as posições da Internet Society ou de quaisquer outras instituições às quais os autores são filiados.
A Índia, com sua tradição de política digital que alcança mais de um bilhão de pessoas, está hoje em um momento significativo no estabelecimento das regras para as empresas de tecnologia em todo o mundo. Politicamente, as tentativas de fazer da Índia um país mais de direita e a introdução de medidas protecionistas mudaram a forma como a influência de entidades estrangeiras é percebida. Isso vem acompanhado de um maior escrutínio das ações de empresas como Google, Amazon e Facebook, seja em termos de leis de concorrência, de responsabilidade dos intermediários ou de regulamentos de comércio eletrônico. É o melhor dos tempos e o pior dos tempos para a vigilância na Índia a depender de quem for dar a resposta. O melhor dos tempos para o governo, que adotou uma nova edição das regras que regem a responsabilidade dos intermediários da Internet no país, as “Regras de Tecnologia da Informação, 2021“. As regras foram inseridas no âmbito da Lei de Tecnologia da Informação, a legislação-mãe das leis sobre responsabilidade e deveres dos intermediários que operam no país. A recente mudança desencadeou um novo período de agitação com as principais redes sociais e apps de mensagens (que têm protestado) contra as principais disposições. Enquanto o Twitter e o Signal correm o risco de perder imunidades previstas em lei por não estarem em conformidade com as novas regras, o Whatsapp e o Facebook entraram na ofensiva ao entrarem com dois processos distintos contra as Regras de 2021 em Tribunais do país. O cerne desses processos diz respeito à questão central discutida neste texto: a quebra de criptografia de ponta a ponta (E2EE) em virtude da rastreabilidade.
As questões relacionadas à responsabilidade dos intermediários da Internet também são parte fundamental do cenário político da Internet no Brasil já há algum tempo. Historicamente, nos últimos vinte e cinco anos, o país é conhecido por uma abordagem altamente progressista para políticas de Tecnologias da Informação e Comunicação com a Anatel (o regulador de telecomunicações) adotando políticas e regulamentos inovadores que fomentam a concorrência no mercado: por exemplo, aliviar a carga regulatória para a entrada no mercado de provimento de acesso à Internet (especialmente em áreas rurais e remotas), assim como reconhecer soluções complementares de conectividade como redes comunitárias. Além disso, o Comitê Gestor da Internet no Brasil (CGI.br) tem sido de suma importância na congregação da comunidade multi-stakeholder no país para fornecer orientação para o setor público em relação aos processos de elaboração de políticas para a Internet. Desde 2014, o Brasil conta com uma “Carta de Direitos da Internet” (o “Marco Civil da Internet”) que estabelece direitos e deveres para usuários e provedores de Internet de todos os tipos, e delimita o papel do setor público no desenvolvimento futuro da Internet no país. Desde as eleições de 2018 (marcadas por controvérsias generalizadas relacionadas à disseminação da desinformação através de redes sociais e aplicativos de mensagens), entretanto, as discussões sobre políticas de Internet no país têm girado em torno de “fazer mais” em relação ao poder das plataformas e à necessidade de “trazer luz” aos fluxos de comunicação que ocorrem em aplicativos de mensagens protegidos pela criptografia E2E. Isso acontece no contexto do caótico governo Bolsonaro e dos graves conflitos institucionais atualmente existentes entre o Legislativo, o Judiciário e o Executivo.
Rastreabilidade em aplicativos de mensagens como uma questão política na Índia e no Brasil
O tema da rastreabilidade, na Índia, tornou-se atual nos últimos anos devido a duas razões principais e relacionadas; a primeira é a popularidade generalizada do WhatsApp no país, que em abril de 2016 passou a empregar criptografia E2EE para todos os seus usuários. A popularidade do aplicativo, nesse país, deu origem a uma nova onda de desinformação e, em muitos cenários, até mesmo a violência offline emanou de seu uso, o que levou os governos a culparem a ferramenta e exigirem mais accountability da plataforma. Isto se deu na forma de determinar o bloqueio da disseminação de determinados tipos de conteúdos, bem como a adoção de medidas para rastrear sua origem. Posteriormente, o governo indiano começou a tratar da criptografia como uma ameaça à segurança pública e, em seguida, como uma preocupação de segurança nacional.
No Brasil, o tema da rastreabilidade ganhou proeminência e tem dividido o debate público desde meados de 2020. No início de maio, um grupo de Parlamentares apresentou Projetos de Lei idênticos em ambas as Casas do Congresso para tratar da questão da desinformação (especialmente no contexto dos processos eleitorais). O Senado foi rápido em aprovar o PL 2630 – ou o “Projeto de Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet” (comumente chamado de “Projeto de Lei das Fake news”) em cerca de um mês de deliberações. Desde julho de 2020, a matéria foi remetida à Câmara dos Deputados. Em resumo, o PL 2630 se concentra principalmente em redes sociais e aplicativos de mensagens que têm um número significativo de usuários (mais de 2 milhões de usuários). O projeto trata da responsabilidade, transparência e devido processo na moderação de conteúdo por plataformas. Adotou um regime de transparência e responsabilidade em relação a conteúdos impulsionados e publicidade paga (com disposições especiais para seu uso em contextos eleitorais). Além disso, cria regras que são aplicáveis à auto-regulação por meio dos Termos de Serviços e Uso definidos pelas empresas. E, entre outras coisas, estabelece penalidades para os responsáveis pela difusão da desinformação de forma organizada e sistemática. Uma das principais controvérsias inerentes ao texto aprovado no Senado, no entanto (e provavelmente o tema de discussão mais acalorado no último ano), foi uma disposição específica (o Artigo 10) que introduz a noção de rastreabilidade nos aplicativos de mensagens.
O que nos une? Uma abordagem tecnológica excessivamente simplista (e perigosa) para enfrentar fenômenos sociais complexos
O 5(2) das Regras da Índia pede aos intermediários de mídia social com mais de 5 milhões de usuários registrados que permitam a identificação do primeiro originador de qualquer mensagem quando solicitado pelo governo. O regulamento esclarece que os intermediários não têm que divulgar o conteúdo das mensagens, o que implica que os dados do originador serão solicitados em virtude de mensagens já conhecidas pelas autoridades – supõe-se que se trate de mensagens que se tornaram virais ou que foram reveladas por uma das partes na troca com acesso a elas. Definir quem é o primeiro originador de um envio é um processo altamente arbitrário, com a possibilidade de muitos indivíduos enviarem uma mensagem ao mesmo tempo, embora com modificações superficiais. Além disso, o primeiro indivíduo a introduzir a mensagem na plataforma poderia tê-lo feito por intenções puramente pessoais ou não maliciosas, e só a partir daí a mensagem ter sido tirada de contexto ou modificada por motivos maliciosos. Neste caso, é difícil dar conta da intenção quando uma mensagem é criada. Caso uma mensagem tenha sido originada em um local fora da Índia, o primeiro originador, de acordo com as regras, é considerado o primeiro destinatário da mensagem no país. Isto é altamente problemático, pois o recebimento de uma mensagem não pode ser equiparado a um ato ilícito. Outra questão é a regra que obriga o intermediário a preservar os registros desse sistema por um período mínimo de 60 dias. A Suprema Corte da Índia, no Caso Puttswamy, estabeleceu o Direito à Privacidade dos cidadãos e cidadãs do país e tais ações das autoridades violam este direito fundamental como mostraremos a seguir.
No Brasil, o Artigo 10 do PL 2630 obriga os provedores de aplicativos de mensagens a registrarem a cadeia de encaminhamento de mensagens específicas (“enviadas em massa”) por um período de três meses. O “encaminhamento em massa” é considerado o envio de uma mesma mensagem por mais de cinco usuários, em um intervalo de até 15 dias, para grupos de bate-papo, listas de transmissão ou mecanismos similares usados para agrupar múltiplos destinatários. Os logs devem conter “a indicação dos usuários que encaminharam a mensagem, com a data e hora do respectivo encaminhamento, e o número total de usuários que receberam a mensagem”. A intenção aqui é ser capaz de rastrear o primeiro originador da cadeia de envio. O PL 2630 indica que “a privacidade (sic) do conteúdo da mensagem” será salvaguardada e que o acesso a esses registros será concedido somente por meio de uma ordem judicial no contexto de investigação criminal e processo daqueles envolvidos no encaminhamento em massa de conteúdo ilícito. Como proteção adicional adotada pelo legislador brasileiro, a regra não se aplicará para mensagens que atinjam um público de menos de mil usuários. Entre outras coisas relacionadas com a rastreabilidade, que aprofundaremos no último item deste texto, há três problemas imediatos com a proposta brasileira: a) Os provedores de aplicativos – especialmente aqueles que operam os serviços criptografados – não têm como prever qual mensagem tornar-se-á viral, portanto, por pelo menos 15 dias eles terão que manter registros para todos os usuários de seu serviço(tornando o sistema uma ferramenta de vigilância em massa nesse período); (b) mesmo que a mensagem seja mantida de maneira cifrada no banco de dados ou que um código representativo do conteúdo (hash) seja gerado para alimentar o banco de dados, durante três meses, cada mensagem classificada como “envio em massa” será indexada e vinculada a cada usuário por qual passou; e, finalmente, (c) todo o sistema simplifica demais a complexidade das cadeias de envio (que não são lineares, como o legislador parece tomar como dado) e desconsidera a questão do envio cruzado entre plataformas distintas.
O que nos separa? A intenção!
As intenções das ações regulatórias – na Índia – são justamente marcadas pela suspeita, dado o clima político no país, que atualmente caminha para o autoritarismo. As Regras foram adotadas à revelia da opinião da sociedade e sem qualquer consulta pública. Em tal ambiente, de ascensão de uma direita linha dura, as leis, incluindo e especialmente as referentes ao ambiente digital, têm sido aplicadas para silenciar a dissidência e normalizar a vigilância de massa. Isto está sendo conduzido sob as razões frequentemente utilizadas para prevenir o crime através de meios tecnológicos e proteger os cidadãos das ameaças à segurança nacional. Embora estas preocupações tenham que ser levadas em conta, as medidas adotadas na Índia estão longe de proteger os direitos dos cidadãos. Pelo contrário, enfraquecem sua privacidade, sua segurança digital e suas expectativas do direito fundamental à liberdade de expressão.
Enquanto na Índia a rastreabilidade vem de uma iniciativa do governo, no Brasil a rastreabilidade pode ser atribuída em grande parte aos parlamentares que buscam alternativas para conter as ameaças colocadas às instituições democráticas por campanhas organizadas de desinformação (incluindo campanhas supostamente organizadas a partir do entorno de Bolsonaro). Tal movimento vem crescendo no país em meio a várias reportagens sobre o uso de bots e o comportamento inautêntico coordenado em plataformas de mídia social, bem como o uso de ferramentas de envio de spam em aplicativos de mensagens pelos políticos (mais notadamente pela Campanha de Bolsonaro e seus aliados nas eleições de 2018 e seguintes). Além das eleições, foi dito que tal estratégia é hoje parte inalienável do modus operandi do governo federal. Para piorar a situação, a pandemia transformou a desinformação em uma questão de vida ou morte para os brasileiros, o que deu um impulso adicional aos legisladores (especialmente os da oposição à Bolsonaro) a buscar soluções técnicas urgentes para resolver tais questões. Para um comentarista político com bastante visibilidade no país, as intenções desses parlamentares são nobres. Aí reside justamente nossa preocupação: não se pode julgar a proposta brasileira apenas com base em suas intenções.
O inferno está cheio de boas intenções…
O crescimento do vigilantismo on-line nos últimos anos (seja pelo Estado, seja pelo setor privado) aumentou a conscientização em torno da importância da criptografia (especialmente o modelo ponta a ponta como forma de garantir, por padrão e por desenho, que terceiros não autorizados não possam acessar os fluxos e o conteúdo de comunicações privadas). Saber que o Governo pode rastrear uma mensagem enviada através de sistemas que prometem criptografia E2EE contradiz o espírito dessa tecnologia e causa um efeito adverso no exercício da liberdade de expressão, pois os usuários se auto-censuram de maneira preventiva. A jurisprudência em evolução sobre o direito à privacidade na Índia, estabelecida no Caso Puttaswamy, seria inadequada sem o reconhecimento do direito à criptografia E2EE. Na mesma direção, dois Ministros da Suprema Corte brasileira – ao apresentarem seus votos nos casos WhatsApp (ainda pendentes de julgamento final na Corte) – reconheceram que o direito de usar a criptografia E2EE deriva do direito constitucional à privacidade e que nada autoriza o governo a obrigar os provedores de aplicativos a instalar backdoors ou enfraquecer a criptografia em seus produtos e serviços.
Muitos dizem que a regra indiana pode ser cumprida através do compartilhamento de metadados (algo que supostamente seria muito menos severo do que a decifragem de mensagens), ainda que muitas informações pessoais possam ser conectadas a partir de fragmentos de metadados que, em conjunto, podem revelar informações pessoais sensíveis. A coleta e o acúmulo de metadados podem ser tão perigosos quanto o acesso direto ao conteúdo das comunicações privadas (devido às inferências que podem ser feitas a partir do cruzamento de conjuntos distintos de metadados, inclusive fora de seu contexto original).
Em ambos os países, a idéia de rastreabilidade do “primeiro originador” envolve a criação de um banco de dados que compreende tanto metadados do usuário quanto dados de conteúdo (ou pelo menos, metadados de conteúdo por meio de hashes que são representações da mensagem original ou do pacote criptografado). A partir do usuário, será possível chegar às mensagens. E a partir das mensagens, será possível chegar aos usuários. Na prática, este arranjo permite mapear quem fala, com quem e quando (e mesmo o que é falado por esses usuários) por mais ou menos quanto tempo. Também, a “confidencialidade do conteúdo” não deve ser confundida com a “confidencialidade da interação”. A confidencialidade do próprio ato de se comunicar com alguém é vital (independentemente do conteúdo da conversa): pense (a) em quando alguém usa um canal anônimo de denúncia policial ou procura o ombudsman de uma agência governamental; (b) no jornalista que fala com suas fontes; (c) no denunciante (como Chelsea Manning e Snowden) que traz à tona revelações de interesse público; e (d) no policial que opera disfarçado no campo e precisa se comunicar regularmente com membros de sua equipe na delegacia de polícia.
Tanto na Índia como no Brasil, as propostas de rastreabilidade simplificam excessivamente o quão complexa e não linear pode ser a propagação de uma mensagem em um aplicativo de mensagens. Não se pode esperar uma cadeia linear de eventos como resultado da propagação cruzada entre plataformas e aplicativos, bem como da propagação coordenada (principalmente através de ferramentas automatizadas) da mesma mensagem através de centenas ou milhares de usuários em paralelo. O resultado desses exemplos pode ser representado por um gráfico que é como uma árvore complexa, cheia de ramos que crescem e se cruzam de forma confusa.
As propostas, em ambos os casos, foram inteiramente elaboradas levando-se em conta o desenho da ferramenta WhatsApp. A Índia e o Brasil parecem querer que a ferramenta seja inteiramente redesenhada para servir a seus próprios propósitos. Embora seja correto dizer que os governos têm o direito de intervir no setor privado na busca de objetivos de política pública de maneira geral, pode-se argumentar que a intervenção proposta no caso da rastreabilidade faz mais mal do que bem para a grande maioria da sociedade. A rastreabilidade, nos termos indianos e brasileiros, reduziria sistemicamente o nível de segurança e privacidade dos usuários em todo o ecossistema digital. Além disso, ao elaborar regras com um foco e especificidade tão estreitos, visando uma ferramenta amplamente utilizada, a Índia e o Brasil parecem desconsiderar a variedade de ferramentas disponíveis no mercado digital. Além de ignorar o ritmo acelerado da inovação digital em uma escala mais ampla: as propostas de rastreabilidade podem até mesmo bloquear a inovação e confiná-la a modelos pré-determinados/aprovados e certificados pelas autoridades governamentais. Mais importante ainda: suprimir ferramentas de comunicação seguras da população em geral não resolve o fato de que os criminosos estão sempre dois passos à frente no desenvolvimento de ferramentas customizadas para seus próprios propósitos.
A rastreabilidade na Índia e no Brasil poderia contradizer o princípio da minimização de dados endossado por lei e reconhecido pelas Supremas Cortes em ambos os países. Na realidade, a “maximização de dados” sendo solicitada de aplicações de mensagens em nossos países também leva a sistemas digitais mais complexos. Este é um problema do ponto de vista da segurança cibernética. Sistemas com uma superfície maior são mais suscetíveis a ataques e provavelmente estarão sujeitos a incidentes de segurança (como vazamentos de dados). Esta maximização da coleta de dados também vem com um aumento dos custos operacionais associados à prestação de serviços, pois de uma perspectiva funcional, técnica e econômica, ainda que seja contra intuitivo, “coletar mais dados nem sempre é uma escolha racional”.
Nossa esperança através deste artigo colaborativo é aumentar o entendimento de quão fundamental é a relação entre criptografia e privacidade em nível global, quão crucial é para a segurança de todos, independentemente de qual parte interessada você seja. Independentemente do país, os cidadãos do mundo inteiro estão unidos por um direito universal que caminha cada vez mais para o direito a que as comunicações digitais possam valer-se de criptografia.