Por Ana Bárbara Gomes, Gustavo Rodrigues e Victor Vieira do Instituto de Referência em Internet e Sociedade (IRIS)
Um estudo do IRIS e da ISOC Brasil mapeou as percepções dos profissionais que movimentam o debate público sobre o acesso excepcional no Brasil. Diante dos resultados, refletimos sobre os riscos de abuso da ferramenta à luz do cenário institucional brasileiro. O que acontece quando o acesso excepcional encontra um ambiente de escalada autoritária?
Histórico do debate sobre acesso excepcional no Brasil
Desde 2016, observa-se no Brasil um intenso debate quanto à legitimidade ou não do uso de criptografia forte para a proteção de comunicações privadas no meio digital: foi esse o ano em que foi emanada a 1ª ordem judicial determinando o bloqueio do WhatsApp em decorrência da criptografia utilizada no aplicativo. O ajuizamento da Ação de Descumprimento de Preceito Fundamental (ADPF) nº 403 e da Ação Direta de Inconstitucionalidade (ADI) nº 5527 no mesmo ano, representou um avanço nessa controvérsia sobre os impactos técnicos e jurídicos de se exigir a implementação de backdoors – ou métodos de acesso excepcional – em sistemas criptográficos.
Em 2017, a audiência pública realizada em sede desses processos reuniu exposições sobre o tema de diversos atores envolvidos na controvérsia. A opinião do law enforcement, em geral, sempre foi favorável à adoção de mecanismos para enfraquecimento da criptografia forte. Isso porque técnicas de segurança da informação desse calibre representam um alegado empecilho para que autoridades estatais conduzam investigações criminais acessando as comunicações cifradas dos suspeitos.
De um ponto de vista da aplicação da lei, o uso de criptografia forte pelo cidadão comum foi sempre demonizado pelo Estado – a famosa narrativa do Going Dark. Essa narrativa culminou na realização do I Simpósio Going Dark Brasil, em 2019, iniciativa do então Ministro da Justiça Sérgio Moro, que contou com a assinatura de uma declaração por 13 países, destacando um interesse de colaboração internacional para esforços no sentido de aumentar o poder investigativo estatal.
Ao longo do período retratado, observou-se o surgimento de diversos projetos de lei que buscam legitimar, pela via legislativa, o enfraquecimento da criptografia no Brasil. Um estudo realizado pelo IP.rec, por exemplo, destacou nessa linha os Projetos de Lei nº 9.808/2018, 11.007/2018, 2.418/2019 e 5.285/2009 (ainda que este último seja anterior ao agravamento dessa discussão em solo nacional). O apelidado “Pacote Anticrime”, convertido na Lei 13.964/2019, carregava previsões com o mesmo espírito, ainda que estas não tenham sido aprovadas. Mais recentemente, o parecer do relator do PL 8045/2010, a reforma do Código de Processo Penal (CPP) trouxe à tona tais preocupações novamente, posto que incluiu dispositivos passíveis de uma interpretação que resultaria em obrigação de quebra de criptografia.
Isso porque o relatório do novo CPP prevê uma obrigação de assistência para provedores de serviços de telecomunicação, o que inclui a disponibilização dos meios e recursos tecnológicos necessários à interceptação. Além disso, prevê que o procedimento para interceptações telefônicas seja seguido subsidiariamente nas interceptações telemáticas. Conjugadas, essas disposições podem resultar na obrigação de que provedores de aplicação, a exemplo do WhatsApp, introduzam vulnerabilidades em seus sistemas criptográficos para fornecer acesso às autoridades em investigações criminais. O que se observa, nesse sentido, é mais uma tentativa legislativa para contornar a segurança da criptografia forte em prol de um argumento de combate à criminalidade.
Cabe destacar um ponto recorrentemente levantado por opositores ao enfraquecimento da criptografia: não há comprovação de que se trata de uma necessidade atual para a efetivação da justiça no Brasil. Isso porque não há evidências conclusivas que permitam apreender em que medida a proteção de comunicações através da criptografia forte representa um empecilho às autoridades investigativas nacionais. Nesse sentido, aumenta o receio de que as referidas vulnerabilidades estariam sendo implementadas sem que sua eficácia e necessidade tenham sido efetivamente demonstradas – resultando em ganhos irrisórios para a devida persecução penal de infratores no país. Soma-se a isso o fato de que essas medidas – potencialmente ineficazes – resultariam concomitantemente em um ambiente de menor privacidade e segurança para todos os usuários dos serviços.
Adicionalmente à expansão dos poderes estatais de interceptação, o novo texto do CPP prevê medidas alternativas de obtenção de provas para autoridades investigativas. Há a previsão de medidas envolvendo “acesso forçado a dispositivo eletrônico, sistema informático ou redes de dados”, compreendendo “métodos de segurança ofensiva ou qualquer outra forma que possibilite a exploração, isolamento e tomada de controle”.
Em resumo, além da potencial obrigação de implementação de backdoor, busca-se a legitimação do chamado government hacking, ou seja, a utilização de tecnologias de invasão tecnológica – remota ou não – pelo Estado para obter os meios de prova que não puderam ser obtidos por outros métodos. Levando-se em consideração o atual cenário de debate e controvérsia quanto à implementação de mecanismos de acesso excepcional, é inevitável ponderar se essas técnicas de government hacking consistem em um “plano B” das autoridades nacionais – para o caso de o acesso excepcional se mostrar inviável perante o entendimento do STF ou mesmo perante o descontentamento da sociedade civil.
Conclui-se, portanto, que o debate quanto aos limites do poder investigativo estatal é um tema fortemente controverso atualmente. Diversas tentativas de ampliação desse poder podem ser observadas por parte do Estado – e, concomitantemente, é possível observar respostas em igual medida por parte daqueles que se opõem ao fortalecimento do aparato repressivo brasileiro.
O que pensam os profissionais que movimentam o debate
A fim de entender melhor as razões pelas quais a controvérsia do acesso excepcional persiste, o IRIS e a ISOC Brasil vêm conduzindo o projeto “Privacidade é Segurança: comunicando a importância da criptografia para todos” com o apoio da ISOC Foundation.
Em sua primeira etapa, o projeto empreendeu uma pesquisa destinada a compreender as racionalidades que orientam os diferentes atores envolvidos nesses debates. Para tanto, realizamos entrevistas semiestruturadas com mais de 40 profissionais engajados com o tema. O universo dos participantes incluiu pessoas de diferentes áreas de formação, entre elas direito, computação, ciências sociais, comunicação social, administração pública, relações internacionais etc. Também houve uma grande diversidade de trajetórias profissionais: entrevistamos de ativistas dos direitos digitais e do software livre a gerentes de relações institucionais de grandes plataformas, de analistas de cibersegurança a operadores do sistema de justiça criminal, de professores universitários a servidores de agências reguladoras. Em todos os casos, buscamos pessoas especializadas na matéria ou com participação prévia no debate público referente a ela.
As perguntas versavam sobre questões como a trajetória profissional e acadêmica do participante, seu nível de satisfação com o ambiente regulatório referente à criptografia no Brasil e suas opiniões e percepções sobre a implementação de acesso excepcional na criptografia para facilitar investigações criminais. Também os questionamos sobre meios alternativos para investigação que não envolvessem interferência na criptografia e sobre a legitimidade dos bloqueios judiciais de aplicação fundamentados no Marco Civil da Internet, a exemplo dos bloqueios do WhatsApp no Brasil em 2015 e 2016.
Recentemente, publicamos os primeiros resultados do estudo, que discutem as percepções desses profissionais em relação ao acesso excepcional como solução para a controvérsia de Going Dark. Do ponto de vista quantitativo, a maioria (69,8%) dos entrevistados se manifestou contrariamente à implementação de acesso excepcional, 18,6% não tem posição determinada na matéria e somente 11,6% foram favoráveis. Entre os entrevistados com formação associada ao campo técnico da computação, 87,5% foram contrários à medida, 12,5% foram favoráveis e nenhum teve opinião indeterminada.
Mas os aspectos verdadeiramente significativos do estudo não são seus resultados quantitativos, mesmo porque o método de seleção utilizado – a amostragem em bola de neve – é não probabilístico e, consequentemente, não é representativo de qualquer segmento populacional coeso. Nosso foco era qualitativo: mapear os discursos, argumentos e percepções que informam as Crypto Wars no Brasil, a fim de entender os pressupostos, juízos de valor e racionalidades que têm orientado o debate.
Entre os apoiadores do acesso excepcional, percebemos um discurso centrado fundamentalmente em argumentos jurídicos e políticos, evitando adentrar muito nos aspectos técnicos do debate. O raciocínio parte da premissa de que a segurança pública, associada aqui imediatamente ao sucesso na persecução penal, deve ser priorizada em relação a outros direitos potencialmente ameaçados pelo acesso excepcional. Não se nega que a medida tenha riscos, mas eles são considerados mitigáveis por controles institucionais robustos e, de modo geral, tidos como menos graves que a alternativa, que seria deixar crimes graves sem solução. Além disso, o acesso excepcional é equiparado a uma interceptação telefônica, a fim de sugerir que a desobediência a ordens de entrega de dados é um descumprimento da lei e um desafio arrogante das empresas à autoridade do Estado brasileiro.
O discurso contrário ao acesso excepcional, por sua vez, enfatiza precisamente os aspectos minimizados pelo discurso favorável à medida: suas repercussões técnicas e as implicações políticas dessas repercussões. Argumenta-se que o dano é demasiado, pois a segurança do sistema inteiro seria fragilizada, gerando um elevado risco de usurpação do mecanismo de acesso por terceiros maliciosos e de abuso pela autoridade pública. Ainda, são questionadas a necessidade efetiva dessa medida (não haveria dados conclusivos provando que é a criptografia que impede a resolução da maioria das investigações), bem como sua eficácia (os criminosos poderiam abandonar as plataformas uma vez implementado o acesso excepcional).
Um aspecto que nos pareceu central desse dissenso foram as diferentes premissas dos envolvidos acerca dos riscos de abuso da ferramenta pela autoridade pública. A defesa do acesso excepcional enquadrava esse ponto como uma questão de princípios – há risco de abuso, mas deve-se confiar que eles podem ser coibidos por controles institucionais. Como resumiu um entrevistado: “se eu não confiar nisso, eu não posso confiar em nada na justiça”. Por outro lado, os argumentos contrários ao acesso excepcional frequentemente adotavam a premissa oposta – não se pode confiar que as instituições sejam efetivamente capazes de coibir abusos de autoridade.
Isso nos leva a uma questão fundamental: as instituições têm ou não se mostrado capazes de impedir abusos de autoridade? A fim de embasar melhor o debate empírico sobre esse ponto, a próxima seção examina o histórico recente do Brasil com relação a isso.
O avanço do tecnoautoritarismo no Brasil
Como qualquer tecnologia, a criptografia deve ser pensada e estudada em contexto com a sociedade em que ela se insere. Isso nos ajuda a mensurar com a realidade quais são os riscos e potências de diferentes arranjos sociotécnicos nos contextos concretos. No contexto brasileiro recente, especificamente, temos observado uma tendência à concentração de informações sobre os cidadãos que por vezes se associa a ações autoritárias de controle do discurso público e silenciamento de opositores. Se a centralização de dados é apresentada como a porta para uma maior eficiência do serviço público, é inegável que ela carrega consigo riscos de abusos e ameaças aos direitos e liberdades individuais e coletivas, além de uma banalização do vigilantismo e do tratamento de dados pessoais sem salvaguardas e garantias. O uso de tecnologia para a projeção de medidas autoritárias é o que caracteriza o tecnoautoritarismo, e essa é uma preocupação latente no cenário brasileiro, sobretudo se dermos atenção aos últimos acontecimentos.
Um relatório publicado pela Artigo 19 nos traz evidências de que, desde junho de 2013, o Brasil tem experienciado um processo de silenciamento de dissidentes políticos. Isso é notável em diversas iniciativas que convergem para uma intensificação da repressão do direito ao protesto. É perceptível no uso do Exército brasileiro para a repressão de manifestações; filmagens de protestos pela polícia e uso de dados e imagens de manifestantes para investigações; tentativas arbitrárias de censura prévia e proibição de manifestações pelo judiciário; investidas legislativas para expandir a lei antiterrorismo e criação de novos tipos penais atribuídos aos manifestantes de forma controversa e recrudescimento das sanções já existentes.
Em meio desse ano, a Câmara dos Deputados aprovou o texto que revoga a Lei de Segurança Nacional, uma norma herdada dos tempos da ditadura e incompatível com a ordem democrática. Seu substitutivo, contudo, passou sem muito tempo para debate com a sociedade civil, e trouxe uma série de novas preocupações sobre restrições à liberdade de expressão orientada por uma lógica de combate a um inimigo interno, precisamente o mote da Doutrina de Segurança Nacional que fundamentava a antiga lei. Essa abordagem criminalizante de condutas online pode minar o ativismo digital e o exercício de direitos na rede, bem como ir na contramão das melhores práticas de segurança da informação.
A construção de megabases de dados no âmbito do Estado também tem se revelado um problema, a exemplo do Banco Nacional Multibiométrico criado pelo Pacote Anticrime para armazenar “dados de registros biométricos, de impressões digitais e, quando possível, de íris, face e voz, para subsidiar investigações criminais federais, estaduais ou distritais”. Outro exemplo é o Cadastro Base do Cidadão previsto pelo Decreto nº 10.046/2019, uma megabase de dados que reuniria 51 bases existentes, contendo dados de identificação, educação, saúde, salários, além de dados biométricos para reconhecimento automatizado – como íris dos olhos, palma da mão e até mesmo o jeito de andar. Em ambos os casos, salta aos olhos a ausência de preocupações dessas propostas com os princípios de proteção de dados pessoais, como finalidade e necessidade.
Há evidências adicionais de que esse risco de abuso não é mera abstração. Em janeiro de 2021, o Centro de Análise da Liberdade e do Autoritarismo (LAUT) e o Data Privacy Brasil publicaram uma retrospectiva com diversos momentos em que autoridades públicas brasileiras forçaram a barreira da vigilância propondo o aumento de atividades de monitoramento e criação de bancos de dados dos cidadãos no ano de 2020. Cada uma das medidas documentadas no relatório nos alertam sobre formas pelas quais direitos fundamentais têm sido colocados em xeque por uma escalada autoritária onde a tecnologia é uma peça chave para o exercício da vigilância e do controle do Estado em todas as suas atribuições e competências, seja no legislativo, executivo ou judiciário.
Em julho de 2020, veio à público um dossiê elaborado pelo Ministério da Justiça e Segurança Pública com 579 servidores federais e estaduais identificados como “antifascistas”. O dossiê trouxe alarde à sociedade civil, em especial jornalistas e ativistas, e a Comissão Interamericana de Direitos Humanos alertou que a prática remete à ditadura militar. Em agosto daquele ano, o STF proibiu a elaboração de dossiês como esse, considerando a prática inconstitucional. Não obstante, no final do ano passado, o governo brasileiro contratou uma empresa encarregada de categorizar jornalistas e influenciadores de acordo com o seu posicionamentos políticos, sejam eles “favoráveis”, “neutros”, ou “detratores”. 77 pessoas faziam parte do dossiê.
Todo o contexto descrito converge para a visualização de um cenário de inequívoca escalada autoritária fortemente associada ao uso da tecnologia. O debate sobre a capacidade das instituições de mitigarem os riscos de abuso necessariamente implicados por um backdoor deve considerar, portanto, que esse mecanismo seria implementado em um contexto sociopolítico delicado, onde sucessivas ameaças miram os direitos dos cidadãos. Nesse ambiente, a criptografia forte se apresenta enquanto ferramenta ainda mais crucial à manutenção dos direitos na rede e seu enfraquecimento significa um retrocesso para todos os usuários e dá espaço para que avance a tendência tecnoautoritária observada nos últimos anos. O argumento de que seria possível enfraquecê-la, desde que estabeleçamos uma rígida e lisa estrutura reguladora encontra um cenário de muitas incertezas institucionais e políticas, onde episódios de intimidação de opositores, críticos, ativistas, têm nos aparecido dia após dia.
