Carta aberta da Coalizão Direitos na Rede sobre questões cruciais relativas à privacidade e à segurança dos cidadãos em julgamento do STF
O Supremo Tribunal Federal tem na pauta de julgamento do dia 27 de maio duas ações referentes às famosas ordens judiciais de bloqueio do WhatsApp no Brasil, ocorridas entre 2015 e 2016. A Ação Direta de Inconstitucionalidade (ADI) 5527 pede que sejam declarados inconstitucionais os dispositivos do Marco Civil da Internet que prevêem sanções de suspensão e proibição do exercício de atividades (Art. 12, incisos III e IV), e requer que apenas decisões em persecução penal possam obrigar o compartilhamento do conteúdo das comunicações. A Ação de Descumprimento de Preceito Fundamental (ADPF) 403, por sua vez, pede que o STF impeça novas ordens judiciais de bloqueio, apontando que estas violam as liberdades de expressão e de comunicação.
A Coalizão Direitos na Rede reconhece a importância do julgamento para a fruição dos serviços de Internet e seus possíveis efeitos sobre a liberdade de expressão e comunicação, e sobre a proteção de dados e sigilo de comunicações no Brasil. Portanto, apresenta as seguintes considerações:
O Artigo 12 do Marco Civil da Internet não serve para fundamentar bloqueios de aplicação por descumprimento de ordens de compartilhamento de dados no âmbito de investigações criminais. Sua aplicação se restringe ao descumprimento das normas de proteção de registros, dados pessoais e comunicações privadas previstas nos Artigos 10 e 11. Refere-se, unicamente, à restrição de operações de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações em razão do descumprimento de tais normas protetivas. Esse entendimento é partilhado pela Advocacia Geral da União, pelo Senado Federal e pelo Comitê Gestor da Internet no Brasil. A interpretação extensiva do Artigo 12 para fundamentar os bloqueios impõe às empresas privadas, na prática, um dever irrestrito e contínuo de guarda dos registros de acesso e dos conteúdos das comunicações, o que fragiliza a criptografia. Tal interpretação é equivocada e inconstitucional. Viola as liberdades de expressão, comunicação e manifestação do pensamento, bem como a privacidade, o sigilo das comunicações e a proteção de dados dos brasileiros.
Como ressaltado por David Kaye, relator especial da ONU para a promoção e a proteção do direito à liberdade de opinião e expressão, a criptografia “cria uma zona de privacidade que serve como porta de entrada ao exercício de uma série de outros direitos humanos.”[1] A garantia quanto à confidencialidade da informação protege a liberdade de expressão e a integridade física de pessoas em situações de vulnerabilidade ou risco, protege a comunicação entre jornalistas e suas fontes, ou o intercâmbio de informações entre agentes em investigações sigilosas. Serve ao exercício dos direitos de reunião pacífica e de liberdade de associação, potencializados pelas tecnologias de informação e comunicação. Indo além, como salienta David Kaye, a capacidade de buscar informação na rede, desenvolver ideias e se comunicar de forma segura é às vezes a única forma que alguém pode explorar os aspectos mais básicos de sua identidade, como gênero, religião, etnia, nacionalidade ou sexualidade. A proteção conferida pela criptografia de ponta a ponta diz respeito não só à confidencialidade da informação, mas à autenticidade de sua origem e à integridade de seu conteúdo, evitando que terceiros mal-intencionados finjam ser o interlocutor ou modifiquem o conteúdo da comunicação.
O uso de “recursos criptográficos no âmbito da sociedade em geral” no Brasil também é estimulado e recomendado pela Estratégia Nacional de Segurança Cibernética (Decreto nº 10.222/2020), que incentiva o “desenvolvimento de competências e de soluções em criptografia”. A Estratégia fala ainda da inclusão da criptologia como “matéria de extrema relevância” em projetos de pesquisa e de inovação em âmbito nacional.
Neste sentido, compelir provedores de aplicação a debilitar a criptografia viola até o direito à segurança pública. Torna milhões de brasileiras e brasileiros vulneráveis a diversos crimes cibernéticos. Usamos plataformas de mensageria privada para comunicar informações tão delicadas quanto senhas bancárias, nossas agendas e as localizações de nossos familiares.
A criptografia também protege o funcionamento de serviços essenciais, como bancários, de saúde ou de energia elétrica, que se utilizam de sistemas digitais contra terceiros mal intencionados. Hoje, durante a pandemia de Covid-19, a estabilidade do fornecimento destes serviços se faz basilar.
Em outro relatório de acompanhamento sobre o tema, David Kaye sublinha que a pressão dos Estados sobre as empresas para criarem acessos excepcionais — vulnerabilidades de segurança — para a obtenção do conteúdo de comunicações criptogradas afeta a segurança de forma geral.[2] Especialistas em segurança da informação há tempos alertam como tais vulnerabilidades podem ser exploradas por terceiros não autorizados, mesmo diante de controles que pretensamente as manteriam “sob controle” do governo.[3] De forma geral, os problemas associados a tais vulnerabilidades compulsórias incluem: (i) a introdução de complexidades no sistema amplia a possibilidade de falhas não detectadas por seus desenvolvedores e, portanto, a superfície vulnerável a ataques por terceiros mal-intencionados; (ii) o caráter encoberto dessas medidas compromete um dos principais antídotos ao problema anterior, que é o escrutínio do código pela comunidade técnica à procura de falhas de segurança; (iii) esse mesmo caráter encoberto compromete a confiabilidade dos usuários em relação aos serviços e aplicações, que, com isso, deixam de adotar medidas de segurança indicadas por esses mesmos serviços e aplicações, como atualizações que corrigem vulnerabilidades do sistema; (iv) a dificuldade de manter mesmo as vulnerabilidades conhecidas “sob controle” diante da possibilidade de seu uso abusivo ou dos estímulos financeiros envolvidos em sua descoberta e comercialização a terceiros mal-intencionados; (v) a exigência da criação de sistemas menos seguros tende a desestimular os estudos e investimentos para a implementação de sistemas mais seguros; (vi) o comprometimento da segurança do usuário comum enquanto organizações criminosas poderão adotar soluções já disponíveis fora do alcance da lei e das autoridades brasileiras.
Tais preocupações denotam o caráter desnecessário e desproporcional de soluções que envolvem a obrigatoriedade de mecanismos de acesso excepional ao conteúdo de mensagens criptogradas. Por essa razão, David Kaye complementa que Estados falharam em demonstrar a necessidade desse tipo de acesso, que coloca em risco a privacidade e a segurança de todos os usuários, e deveriam evitar quaisquer medidas que comprometem a segurança online. Uma manifestação do Supremo Tribunal Federal no sentido de que aplicações que utilizam criptografia de ponta a ponta podem ser bloqueadas em território nacional, caso não entreguem o conteúdo das mensagens, vai de encontro a essa compreensão e permitirá que autoridades de investigação pressionem as empresas a adotarem práticas capazes de colocar milhões de brasileiros em risco, comprometendo também o exercício de uma série de direitos humanos e fundamentais.
Ainda salientamos que, em conformidade com o Artigo 18 do Marco Civil da Internet e com os princípios de governança da internet afirmados no decálogo do Comitê Gestor da Internet no Brasil, “o combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos”.
Frisamos, por fim, que embora não seja fundamento legal para bloqueios de aplicação por descumprimento de ordens de apresentação de dados, o Artigo 12 do Marco Civil da Internet é constitucional e representa uma proteção importante da qual os usuários dispõem contra infrações de sua privacidade e proteção de dados pelas provedoras de aplicação. Assim, caso essas disposições sejam consideradas inconstitucionais, há o risco de interesses econômicos de provedores prevalecerem sobre os direitos fundamentais de usuários.
Pelos motivos acima expostos, a Coalizão Direito na Rede pede ao Supremo Tribunal Federal que declare a constitucionalidade do Artigo 12 do Marco Civil da Internet, adequando a interpretação das Cortes para que este não seja utilizado como base normativa para bloqueios generalizados de aplicações em casos de descumprimento de ordem judicial. O objetivo do Artigo 12 é unicamente garantir a proteção dos dados dos usuários, o que se faz mediante mecanismos de segurança como a criptografia de ponta a ponta. Caso contrário, o Brasil estará indo na contramão das democracias em todo o mundo.
Coalizão Direitos na Rede
26 de maio de 2020
1. Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, David Kaye. A/HRC/29/32. 22 de maio de 2015. Disponível em: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G15/095/85/PDF/G1509585.pdf?OpenElement/.
2. Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, David Kaye. Encryption and Anonymity follow-up report. June 2018. Disponível em: https://www.ohchr.org/Documents/Issues/Opinion/EncryptionAnonymityFollowUpReport.pdf/.
3. Por exemplo, o relatório “Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications.” Disponível em: http://hdl.handle.net/1721.1/97690/.
