A segurança da informação, a ética da praça pública, o Estado de Direito e o novo capítulo da novela Brasil
Intróito
As matérias do The Intercept divulgadas no último domingo, 09, resultado do vazamento de troca de mensagens entre integrantes da Operação Lava Jato, trazem de volta o debate sobre a segurança de aplicativos de mensagens instantâneas, como WhatsApp, Telegram, Signal e afins. Muito se falou, à época das ordens judiciais de bloqueio do WhatsApp, que a adoção de criptografia ponta a ponta pelo aplicativo trazia uma maior segurança aos usuários, além da garantia à privacidade, já que há, através da encriptação, a garantia do sigilo e da inviolabilidade de mensagens.
Não se sabe ao certo como se deu a obtenção das mensagens do atual imbróglio, já que tal informação está protegida pelo sigilo da fonte a que os jornalistas têm direito, inclusive por força constitucional, o que aqui não será de forma alguma contestado. Importa-nos a discussão sobre o uso de criptografia em dispositivos e aplicações, já há muito condenada pelos órgãos de investigação criminal do país, e como esse caso afetará o debate já em curso sobre o tema.
1. A transparência do Rei nu é a melhor estratégia de segurança? Mas o Rei está nu!
As matérias publicadas pelo portal The Intercept tornam explícito o comportamento de juízes e procuradores integrantes da força-tarefa da Operação Lava Jato e a forma como foram conduzidos os trabalhos da Operação.
Ocorre que muitos questionamentos estão sendo levantados tanto sobre a legalidade da obtenção das mensagens, quanto pela publicação dos diálogos. Assim como o ex-juiz e agora Ministro da Justiça Sérgio Moro, a força-tarefa da Lava Jato divulgou nota sobre o conteúdo publicado pelo The Intercept, alegando que dispositivos foram hackeados. Nesse sentido, no texto da matéria, os jornalistas já deixam claro que obtiveram o material antes da notícia de possível hackeamento do celular do ministro da justiça, de forma que os eventos não estariam relacionados.
Mas e se de fato os dispositivos foram hackeados?
Se de fato as informações foram acessadas mediante invasão de conta ou dispositivo, configura-se a conduta de invasão de dispositivo informático, previsto no Código Penal, em seu artigo 154-A. Mas o responsável pela invasão é apenas quem efetuou a conduta, de modo que ao veículo de imprensa que somente recebeu o material não pode ser imputada qualquer conduta ilícita.
Mas deve ser ressaltado o enorme interesse público por trás das conversas publicadas. Nesse sentido, a publicação do conteúdo obtido pelos jornalistas segue o disposto no código de ética do jornalismo, que, no art. 2º, expressa que “a produção e a divulgação da informação devem se pautar pela veracidade dos fatos e ter por finalidade o interesse público”.
Já entre as obrigações dos jornalistas, o código de ética exprime que os profissionais devem “divulgar os fatos e as informações de interesse público” e “combater e denunciar todas as formas de corrupção” (art. 6º), ao mesmo tempo em que não podem divulgar informações obtidas de maneira inadequada, com exceção apenas no caso de “incontestável interesse público” e “quando esgotadas todas as outras possibilidades de apuração” (art. 7º). Portanto, mesmo que se sustente que o conteúdo publicado foi obtido de maneira inadequada, o caso específico pode ser analisado à luz desta norma.
Nesse sentido, para responder à pergunta do título desta seção: as relações entre poderes devem ser ao máximo transparentes. A transparência, quando aplicada, torna-se medida de segurança e garantia contra questionamentos posteriores. Transparência aqui é elemento norteador das atividades do agir dos representantes de Estado (qualquer que seja o Poder ao qual estejam vinculados), sob fundamento legal expresso de matriz Constitucional. Aqui cabe os princípios mais básicos do direito administrativo e do controle da atividade do Estado que, como instituição social de garantia, norteado pelos valores da Constituição da República, não atua contra, mas a favor da sociedade civil — a ordem pública se curva aos indivíduos, em si, e como coletividades organizadas.
2. A criptografia como realização das nossas velhas roupas coloridas
Vazamento de informações e interesse público já não é uma pauta que possa ser chamada nova — nunca foi. Não é novo nem no âmbito do uso da Internet ou demais Tecnologias de Informação e Comunicação. Como exemplo, devemos recordar imediatamente dos casos que envolvem o Wikileaks, entre eles o caso da divulgação dos telegramas diplomáticos americanos por Chelsea Manning, além das revelações realizadas por Edward Snowden.
Além de disponibilizar materiais em seu próprio website, o WikiLeaks compartilhava o seu conteúdo com vários parceiros da mídia impressa, como El País, Le Monde, Der Spiegel, The Guardian e The New York Times. É importante lembrar que a organização ganhou notoriedade principalmente em razão do alto grau de relevância política e impacto social dos documentos divulgados. Para muitos, a motivação comum a ativistas e whistleblowers ao redor do globo deriva de um desejo de expor erros em governos corruptos e opressivos, mas que termina por expandir-se de forma a incluir a advocacia e a busca pela aplicação de uma maior transparência e abertura das administrações públicas de uma forma geral.
Foi o caso de Edward Snowden, quando resolveu divulgar esquemas de espionagem realizados pela NSA, inclusive contra chefes de Estado, como a Presidenta Dilma Rousseff e a Primeira-Ministra alemã Angela Merkel.
Claramente contrário às ações da agência norte-americana, Snowden, por ter acesso privilegiado aos dados comprobatórios, coletou tudo o que podia e elaborou um esquema seguro de repasse das informações a jornalistas. O aparato de segurança de Snowden compreendia meios criptografados de troca de mensagens e transmissão do conteúdo.
O que era novo, jovem, hoje é antigo. Esses eventos ainda ilustram um debate corrente sobre o desconhecimento do que é a criptografia e sua importância. Nós não pretendemos deixar essa oportunidade passar.
O artigo 19 da Declaração Universal dos Direitos Humanos diz que o direito à liberdade de expressão inclui “a liberdade de buscar, receber e transmitir informações e ideias por meio de qualquer mídia e independentemente de fronteiras”. Pode ser que o vínculo entre a criptografia e liberdade de expressão não seja imediatamente visível, entretanto, em casos que governos autoritários se utilizam de mecanismos de censura de modo a impedir a comunicação de determinadas informações, a criptografia pode ajudar a evitar o cerceamento dos direitos à liberdade de expressão e acesso à informação.
Ao oferecer aos usuários privacidade em suas comunicações, a criptografia busca assegurar o exercício do direito à privacidade e à liberdade de expressão. Em 2015, o Relator Especial da ONU para a promoção e proteção do direito à liberdade de opinião e expressão, David Kaye, destacou uma série de situações específicas em que a criptografia facilita o pleno exercício do direito à liberdade de expressão. Como exposto pelo relator, casos de filtragem e bloqueio de certos conteúdos ou de criminalização de certas formas de expressão, como visões políticas e religiosas dissidentes ou críticas ao governo, podem ser evitadas por meio do uso da criptografia.
A criptografia tem um papel crucial na habilitação de direitos humanos na era digital. A UNESCO, por exemplo, reconhece que a criptografia pode agir como um mecanismo facilitador da proteção da privacidade e da liberdade de expressão e encoraja o desenvolvimento de novas tecnologias e ferramentas de criptografia que visam oferecer suporte à privacidade e à liberdade de expressão e proteger jornalistas, usuários vulneráveis e minorias.
Como se vê, criptografia é medida de segurança, portanto não deve ser vista como meio de práticas criminosas, como muito se acredita.
Nesse sentido, o debate sobre esse assunto no Brasil começou a partir das ordens judiciais de bloqueios do WhatsApp, em que os órgãos de investigação solicitavam acesso ao conteúdo das mensagens trocadas por pessoas investigadas, mas a empresa alegava o uso de criptografia ponta a ponta para apontar uma impossibilidade técnica de cumprimento da decisão judicial.
Tal comportamento fez com que órgãos como Ministério Público Federal e Polícia Federal defendessem o “acesso excepcional” das mensagens trocadas por aplicativos como o WhatsApp, conjecturando sobre a possibilidade de um backdoor ou uma “chave mestra” que pudesse bypassar a criptografia aplicada nesses mensageiros. Tais medidas extraordinárias foram rechaçadas por acadêmicos e organizações do terceiro setor, que afirmam que os backdoors ou as chaves mestras poderão ser utilizados por quem quer que detenha o conhecimento técnico para tanto, pondo em risco a integridade das mensagens, a privacidade e a segurança de todos os usuários, não só aqueles sob investigação.
Nesse sentido, é interessante observar como esse debate vai se desenvolver após as reportagens do The Intercept publicadas nos últimos dias. O MPF, outrora defensor da flexibilização da criptografia dos aplicativos, foi vítima do vazamento de mensagens de um aplicativo que não utiliza, por padrão, técnicas de encriptação ponta a ponta de mensagens. Aguardemos, portanto, os próximos capítulos do desenrolar dessa história.
Mas chegamos à questão que sempre se põe nesse debate: qual aplicativo é mais seguro?
Bom, para responder a essa questão, alguns pontos têm que ser analisados. Quais usam criptografia ponta a ponta, quais permitem apagar as mensagens de tempos em tempos, quais fazem backup do conteúdo na nuvem, entre outros. E principalmente, qual a efetiva necessidade de cada um e o nível de segurança e privacidade que o usuário ou a organização precisam. É impossível que um aplicativo de mensagem contemple todos os requisitos buscados, razão pela qual não podemos fazer esse tipo de recomendação. O ideal é que o usuário busque informações sobre os requisitos técnicos que tornam cada aplicativo seguro ou as falhas de segurança que já foram apontadas em cada um deles e, assim, construa a sua própria armadura com base nas suas necessidades.
3. Nos encontramos na praça: para atirar pedras uns nos outros ou para fazer um país?
A publicação das conversas pelo site The Intercept levanta algumas questões de ordem ética: conversas privadas podem ser coletadas e publicadas e os seus partícipes, expostos? Qual o limite entre a privacidade e o interesse público? O hackeamento do dispositivo para obtenção das conversas é defensável de alguma forma?
Consideramos que o debate sobre o limite entre privacidade e interesse público merece muito cuidado e atenção e amadurecimento enquanto sociedade. Entretanto, visto que os diálogos do caso em tela foram travados no exercício da função pública ocupada pelos sujeitos envolvidos, justifica-se a publicação, quando sopesados o interesse público e a privacidade dos envolvidos. Até porque o próprio editorial do The Intercept, ao justificar a publicação do conteúdo, afirma sua responsabilidade no sentido de dar tratamento jornalístico ao material, apurando os fatos e omitindo qualquer conversa de cunho privado. Dessa forma, nenhuma informação que diga respeito ao círculo estritamente privado da vida dos envolvidos foi publicada, o que reforça o compromisso das revelações com o interesse público.
Entretanto, é vital o respeito ao Estado de Direito, que existe para garantir que situações de exceção, como o descumprimento da regra legal de suspeição de magistrados, não costurem uma paisagem nova, uma nova rotina, onde a arbitrariedade, ou seja, o exercício de um Poder fora das balizas legais, seja a regra. Caso alguém infrinja essa regra e, consequentemente, fragilize a democracia, deve, sem sombra de dúvidas, garantidos o contraditório e a ampla defesa, responder pelos seus atos. Os limites legais devem ser sempre respeitados, sob pena de entrarmos numa roleta russa de direitos: afinal, para quem o tambor engatilha uma bala certeira?
Assim, a utilização de ferramentas com aplicação de criptografia podem efetivar direitos, de forma que o seu banimento ou sua flexibilização apenas atesta a nossa incapacidade de lidar com o novo, o diferente, com aquilo contra o qual não podemos lutar.
Ao fim e ao cabo, cabe a nós o esforço de reconhecer erros e procurar acertar mais em conjunto, enquanto sociedade, amadurecendo posicionamentos de tolerância e de respeito a direitos, dentro de um debate informado e capacitado sobre o uso e desdobramentos de tecnologias. Fora das respostas fáceis (como exemplo clássico os impulsos de penalização de condutas e proibicionismo de toda espécie) há um amplo território a desbravar para recuperar o sentido de sociedade que o Brasil parece almejar ser.
Raquel Saraiva
Presidenta e fundadora do IP.rec, é também graduada em Direito pela Universidade Católica de Pernambuco e mestra e doutoranda em Ciência da Computação pela Universidade Federal de Pernambuco. Alumni da Escola de Governança da Internet do CGI.br (2017). No IP.rec, atua principalmente nas áreas de Algoritmos e Inteligência Artificial, Privacidade e Vigilância e Tecnologias de Realidade Virtual e Aumentada, mas também se interessa pelas discussões sobre gênero e tecnologia.
Mariana Canto
Diretora e Secretária Geral do IP.rec. Mestra e Chevening Scholar 2021/22 em “Science and Technology in Society” pela Universidade de Edimburgo, no Reino Unido. Graduada em Direito pela Universidade Federal de Pernambuco, tendo estudado parte do seu curso na Universidade de Hamburgo, na Alemanha. É pesquisadora visitante e German Chancellor Fellow (Bundeskanzler-Stipendium) 2022/23 no Wissenschaftszentrum Berlin für Sozialforschung (WZB), na Alemanha. É Internet of Rights Fellow na ONG Article 19, no Reino Unido. Alumni da Escola de Governança da Internet do CGI.br (2018), trabalhou junto ao Secretariado do Internet Governance Forum na ONU. No IP.rec, participa de projetos nas áreas de “Privacidade e Vigilância” e “Multissetorialismo e Participação Popular”. Também tem interesse pelo estudo da regulação de algoritmos, assim como sua influência em relações assimétricas de poder.
André Fernandes
Diretor e fundador do IP.rec, é graduado e mestre em Direito pela UFPE, linha teoria da decisão jurídica. Doutorando pela UNICAP, na linha de tecnologia e direito. Professor Universitário. Membro de grupos de especialistas: na Internet Society, o Grupo de Trabalho sobre Responsabilidade de Intermediários; no Governo Federal, Grupo de Especialista da Estratégia Brasileira de IA (EBIA, Eixo 2, Governança). Fundador e Ex-Conselheiro no Youth Observatory, Internet Society. Ex-Presidente e Fundador da Comissão de Direito da Tecnologia e da Informação (CDTI) da OAB/PE. Alumni da Escola de Governança da Internet do CGI.br (2016). No IP.rec, atua principalmente nas áreas de Responsabilidade Civil de Intermediários, Automação do Trabalho e Inteligência Artificial e Multissetorialismo.