Publicado em: 7 de dezembro de 2023

Entre redes sociais, mensageria privada e programas de monitoramento, defender a privacidade é um necessário ponto de partida

O que é necessário para proteger as crianças e adolescentes na Internet? Essa é uma pergunta difícil e a resposta é complexa. Diversos fatores culturais, econômicos e políticos  têm diferentes pesos, afetando os resultados de estratégias possíveis. O que sabemos é que não tem uma bala de prata. De partida, é necessário entender as dores e as graças da Internet e seu potencial para promover direitos das crianças e adolescentes ou violações desses mesmos direitos. 

A relação entre os direitos das crianças e adolescentes é um dos pontos quentes na regulação de plataformas, principalmente no Norte Global. Em abril deste ano, Daphne Keller, Diretora de Regulação de Plataforma do Stanford Cyber Policy Center,  apontava, em fio, que “a coisa mais importante e sub examinada que está acontecendo na legislação da Internet nos EUA neste momento é a emergência de várias leis de “segurança infantil” que efetivamente regulam o conteúdo nas plataformas, mas não o dizem”. Ela apontava ali que essas legislações podem trazer riscos tanto à liberdade de expressão, quanto à privacidade nas plataformas. 

Neste ano, também houve a aprovação do Online Safety Act, no Reino Unido, com riscos à privacidade, especialmente aos serviços de comunicação com criptografia ponta-a-ponta.  Logo ao lado, a Comissão Europeia está tentando aprovar a proposta de Chat Control, que obrigaria serviços a varrerem conteúdos das comunicações privadas, incluindo naquelas com criptografia ponta-a-ponta, em busca de material de abuso sexual infantil. 

Desde o começo do ano, temos defendido, no Observatório da Criptografia, que é necessário amadurecer este debate no Brasil. Por isso, publicamos, recentemente, a tradução, para o português, do relatório “Privacy and Protection: A children’s rights approach to encryption”, elaborado pela Child Rights International Network (CRIN) e defenddigitalme, publicado originalmente em março de 2023. [1] 

Não surpreende, portanto, a retomada das discussões do Projeto de Lei n° 2628, 2022, do Senador Alessandro Vieira, que dispõe sobre a proteção de crianças e adolescentes em ambientes digitais. Assim, gostaria de comentar alguns pontos do texto. 

PL 2628/2022 e a “proteção de crianças e adolescentes em ambientes digitais”

O projeto tem como fundamentos “a prevalência absoluta do interesse das crianças e adolescentes, a condição peculiar de pessoa em desenvolvimento biopsíquico e a proteção contra a exploração comercial indevida.” Ele propõe regular “todo produto ou serviço de tecnologia da informação direcionado ou que possa ser utilizado por crianças e adolescentes, disponíveis em território nacional, independentemente de sua localização, desenvolvimento, fabricação, oferta, comercialização e operação”. 

Proposto em outubro de 2022, o projeto conta com 10 capítulos, tratando de produtos e serviços de tecnologia da informação, monitoramento infantil, jogos eletrônicos, publicidade em meio digital, redes sociais, reporte de violações aos direitos de crianças e adolescentes, governança e sanções. 

No começo do ano, o projeto ganhou atenção dentro do contexto dos ataques às escolas, dada a articulação destes ataques por meio de redes sociais, fóruns etc. O projeto já tramitou na Comissão de Direitos Humanos e Legislação Participativa (CDH), onde foi aprovado o parecer favorável da CDH a partir do relatório do Senador Flávio Arns (PSB/PR). 

Em seguida, foi encaminhada para a Comissão de Constituição, Justiça e Cidadania, onde se encontra hoje, e depois seguirá para a Comissão de Ciência, Tecnologia, Inovação e Informática. Na CCJ, o relator é o Senador Jorge Kajuru (PSB/GO), que se posicionou favorável e apresentou doze emendas ao projeto, além de uma emenda proposta pelo Senador Carlos Viana (PODEMOS/MG). 

Redes sociais e mensageria instantânea: cara, cadê minha definição? 

Entrando nas especificidades do Projeto, vale o destaque à definição de rede social, constante no Artigo 2º, inciso IV:

“aplicação de internet cuja principal finalidade seja o compartilhamento e a disseminação, pelos usuários, de opiniões e informações, veiculados por textos ou arquivos de imagens, sonoros ou audiovisuais, em uma única plataforma, por meio de contas conectadas ou acessíveis de forma articulada, permitida a conexão entre usuários” (p.3). 

Enquanto a  definição de aplicações de internet empregada por este PL é a mesma usada pelo Marco Civil da Internet, legislação de 2014 que é referência internacional sobre o tema, a definição de rede social é igual a definição do PL 2630/2020, que institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, também conhecido como PL das Fake News, de autoria também de Alessandro Vieira, mas que sofreu diversas alterações durante sua tramitação na Câmara dos Deputados, cujo relator é o Deputado Orlando Silva. 

Ausente no PL 2628, o PL 2630 faz a necessária diferenciação entre redes sociais e mensageria instantânea, que reconhece as especificidades desta última modalidade de serviço digital, assim definido, no artigo 5º, inciso XII: 

aplicação de internet cuja principal finalidade seja o envio de mensagens instantâneas para destinatários certos e determinados, incluindo a oferta ou venda de produtos ou serviços e aquelas protegidas por criptografia de ponta-a-ponta, com exceção dos serviços de correio eletrônico;

Essa diferenciação importa, pois as obrigações impostas às redes sociais não podem ser as mesmas impostas  aos serviços de mensageria, sob o risco de prejudicar a privacidade e a capacidade das pessoas se comunicarem. Por exemplo, no artigo 13 do PL 2628, temos que: 

As aplicações de redes sociais devem impedir a criação de usuários ou contas por crianças no âmbito de seus serviços.

§2º As plataformas de redes sociais devem monitorar e vedar, no âmbito e no limite técnico de seus serviços, conteúdos que visem à atração evidente de crianças.

Assim, se serviços de mensageria, como o Whatsapp, Telegram ou Signal forem entendidos como redes sociais, cria-se a obrigação de monitoramento de conteúdos. Nesses serviços citados, há, contudo, criptografia ponta-a-ponta, onde as próprias fornecedoras não têm acesso ao conteúdo. Isso pode criar um problema já conhecido ao brasileiro com os bloqueios do Whatsapp em 2015 e 2016, seguidos pelos julgamentos no STF da Ação Direta Preceito Fundamental 403 e Ação Direta de Inconstitucionalidade  5527. 

Por outro lado, o PL 2628 conta com um dispositivo positivo nesse âmbito. Respectivamente, o artigo 5º argumenta que qualquer serviço utilizável por crianças ou adolescentes deve garantir desde a concepção e por padrão “a configuração no modelo mais protetivo disponível em relação à privacidade e à proteção e privacidade de dados pessoais, justificado o melhor interesse da criança e do adolescente”, o que incluiria a criptografia ponta-a-ponta, considerada o padrão ouro da privacidade e segurança nas comunicações digitais. 

Riscos do monitoramento e controle parental

Por outro lado, destaco que qualquer regulação de serviços digitais deve ser extremamente cuidadosa com serviços de monitoramento e controle parental, dada a grande intrusividade e potencial de violação de direitos à privacidade, à proteção de dados e à segurança, assim como à liberdade de expressão, de reunião, entre outros relacionados. O PL 2628 tem um capítulo sobre esses serviços, assim definidos no artigo 2º, inciso III:

III – produto ou serviço de monitoramento infantil: produto ou serviço de tecnologia da informação destinado ao acompanhamento, por pais ou  responsáveis, das ações executadas por crianças e adolescentes em ambientes digitais, a partir do registro ou da transmissão de imagens, sons, informações de localização, de atividade ou outros dados;

Como sabemos, contudo, não é fácil controlar as finalidades dos usuários ao usar qualquer tecnologia. O sequestro de função é prática comum até no Estado, quanto mais em esferas informais e por atores maliciosos. Vale relembrar que diversos desses serviços se valem de justificativas mais nobres, como a proteção de crianças e adolescentes, mas propagandeiam seu potencial de vigiar parceiros românticos, atuando como stalkerwares, ou seja, software que permite a perseguição online sem conhecimento da vítima. Nesse cenário, é de especial preocupação as tecnologias servirem de facilitadoras para violências baseadas em gênero. 

Segundo a ONU Mulheres, “A violência baseada no gênero facilitada pela tecnologia é qualquer ato cometido ou amplificado através de ferramentas ou tecnologias digitais que causem danos físicos, sexuais, psicológicos, sociais, políticos ou económicos a mulheres e meninas devido ao seu gênero” (tradução livre).

Apesar da falta parcial de dados de alguns Estados, no Brasil, a quantidade de casos de perseguição cresceu de 31.189, em 2021, para 56.560, em 2022, cerca de 80%. Samira Bueno et al. (2023), no Anuário Brasileiro de Segurança Pública 2023, apontam que ”o stalking é fator de risco para a ocorrência de feminicídios” e que “a tecnologia facilita o controle e uma violência onipresente contra a mulher” (p.138) [2]. Stalking também facilita várias violências, como doxxing e compartilhamento ilegal de materiais de exploração sexual, além de ser uma violação da privacidade e da cibersegurança, com que pode causar danos psicológicos e sociais graves.

Além do risco de uso malicioso de serviços de monitoramento, esse tipo de solução tecnológica tem a tendência de aumentar vulnerabilidade de dispositivos e sistemas e driblando a segurança até das comunicações criptografadas ponta-a-ponta e colocando dados sensíveis sob controle de terceiros. Isso se dá, justamente, pela exploração de vulnerabilidades nos smartphones, os dispositivos perfeitos de vigilância, como argumenta Craig Jarvis [3]. Ao criar mecanismos que têm controle sobre o dispositivo, esses serviços aumentam a superfície de ataque aos dispositivos móveis. E vale notar ainda que apesar de não raros vulnerabilidades encontradas em sistemas operacionais como iOS ou Android, seus fornecedores têm muito mais incentivos, recursos e  interesse em saná-las, enquanto serviços de monitoramento e controle parental têm muito menos

Recentemente, por exemplo, três aplicações dessa sorte foram invadidas e tiveram dados vazados pelo coletivo DDOSecrets. Em análise, Lucas Lago, do Instituto Aaron Swartz, aponta que o serviço do WebDetetive, empresa brasileira envolvida neste vazamento, monitorava 76 mil celulares e permitia as seguintes funcionalidades: “leitura de conversas do Whatsapp, Telegram e Signal; gravação de chamadas de voz; informações de localização; histórico de navegação; registro de todas as teclas pressionadas no teclado virtual do celular; acesso a áudio e câmeras do celular em tempo real; acesso a todas as fotos do celular.”

Outro risco é que tais produtos e serviços geralmente têm seus modelos de negócio baseados também na exploração dos dados coletados para fins de monitoramento, pelos responsáveis, das crianças e adolescentes. Justamente por isso foi possível encontrar dados nos servidores das empresas, como no caso acima descrito. 

Ou seja, o modelo de negócio de serviços de monitoramento e controle parental pode aumentar a vulnerabilidade das crianças e adolescentes pelo acesso privilegiado aos recursos do sistema, quanto pelo acesso a dados sensíveis, extensivamente coletados e usados para fins comerciais.

O PL 2628, ao menos, busca proteger a privacidade, a segurança e o direito à informação das crianças e adolescentes, apontando, no artigo 7º, que tais serviços devem  garantir a inviolabilidade das informações armazenadas e transmitidas aos pais, informar às crianças e aos adolescentes o monitoramento em curso e serem guiados pelo melhor interesse da criança e o desenvolvimento progressivo de suas capacidades. 

Inclusive, como apontado no relatório Privacidade e Proteção [1], a vigilância parental pdoe ter efeitos negativos no desenvolvimento da autonomia das crianças e adolescentes e também efeito contraprodutivo em relação à sua exposição a riscos online. 

No entanto, vale salientar que grande parte dos abusos e violências que crianças e adolescentes sofrem são originados justamente por pessoas próximas, como familiares. Assim, mecanismos de monitoramento podem vulnerabilizar ainda mais essas pessoas, ao dar mais controle para seus abusadores. É necessário, portanto, que qualquer legislação sobre a proteção de crianças e adolescentes em ambientes digitais evite as armadilhas comuns, como as falhas da oposição entre criptografia e proteção de crianças e adolescentes.

Nesse sentido, para proteger essa população, o PL 2628 deve estabelecer controles rígidos sobre os serviços de monitoramento e controle parental, assim como de suas funcionalidades, incluindo coibir algumas capacidades disponíveis hoje, das quais destaco:

(i) o monitoramento sem o conhecimento do usuário do dispositivo monitorado, o que facilita a perseguição baseada em gênero especialmente por parceiros e ex-parceiros de mulheres; 

(ii) o armazenamento e uso dos dados das crianças e adolescentes pelos prestadores desses serviços, o que possibilita tanto o uso para fins de publicidade infantil baseada em dados, quanto os recorrentes vazamentos de dados. Nesse último caso, o emprego de criptografia ponta-a-ponta é uma forma de garantir a segurança dos dados sensíveis e estaria em sintonia com o artigo 5º do PL 2628/2022, que prevê que as configurações para as crianças e adolescentes devem ser as mais protetivas para sua privacidade e proteção de dados.

Ainda assim, é necessário maior discussão, assim como estudos sobre efetividade e segurança desses serviços, tendo em mente o melhor interesse da criança e adolescente, assim como os riscos que podem ter ao desenvolvimento desses grupos. Há dúvida razoável sobre a necessidade, efetividade e sobre os custos psicológicos e sociais às crianças e adolescentes que esses mecanismos podem ter, o que demanda maior atenção e cuidado com seu uso.

Concluindo (ou só começando?)

O PL 2628 tem um objetivo legítimo. No entanto, temos visto como a proteção de crianças e adolescentes tem criado espaço para leis ruins de internet, como listado no site Bad Internet Bills, que muitas vezes não consideram o funcionamento da Internet, nem os impactos das propostas no conjunto de direitos, incluindo das crianças e adolescentes. Assim, é necessário um amplo debate sobre o tema.

Ao lado desse debate público, é mais importante, no momento, melhorar o cumprimento da Lei Geral de Proteção de Dados, do Código de Defesa do Consumidor e do Estatuto da Criança e Adolescente, antes de aprovar uma lei nova que já poderia ser coberta pela aplicação dessas normativas e da fiscalização pelos órgãos responsáveis. 

Vale notar, por exemplo, a existência de legislações e decisões judiciais que amparam a proibição de publicidade infantil e promovem o melhor interesse da criança, como bem aponta a nota do Instituto Alana sobre este PL e as propostas do relator, elementos que deveriam guiar a atuação da Autoridade Nacional de Proteção de Dados no âmbito do tratamento de dados de crianças por entes privado.

É especialmente preocupante esse ponto, pois o relator do PL na Comissão de Constituição e Justiça, Senador Jorge Kajuru, argumentou que “as regras previstas no art. 10 do projeto são extremamente restritivas e, nesse sentido, mostram-se desproporcionais, pois, na prática, proíbem qualquer tipo de publicidade destinada a esse público” e propôs emenda de supressão do artigo 10, removendo tal proibição. 

Assim, temos o risco de legitimar a publicidade infantil na internet, além de ter um efeito de espraiamento para reabrir as portas de outras formas de publicidade infantil, igualmente negativas. Vale salientar que as recomendações do Instituto Alana sobre o PL, que incluem a rejeição das emendas do relator na CCJ, Senador Kajuru, são um necessário ponto de partida para discussão do PL.

Por fim, é necessário mais atenção e garantias à privacidade, incluindo das crianças e adolescentes. Isso passa pela promoção de privacy-by-design, considerando que a privacidade pode mitigar boa parte dos riscos e danos advindos da internet atual, além de reduzir os riscos em mecanismos de controle e monitoramento parental, que podem ter suas funcionalidades apropriadas por agentes maliciosos sob risco de danos às próprias crianças e adolescentes, assim como para perseguição baseada em gênero. Privacidade também é uma aliada para combater a publicidade infantil baseada em dados, vale lembrar.

[1] Child Rights International Network – CRIN & defenddigitalme. Privacidade e Proteção: Privacidade e Proteção: Uma abordagem dos direitos da criança à criptografia. Tradução: Instituto de Pesquisa em Direito e Tecnologia do Recife. Recife, 2023. Disponível em:https://obcrypto.org/wp-content/uploads/2023/11/Privacy-and-Protection-Traducao-Portugues-v1.pdf 

[2] BUENO, Samira; MARTINS, Juliana; LAGRECA, Amanda; SOBRAL, Isabela; BARROS, Betina & BRANDÃO, Juliana. O crescimento de todas as formas de violência contra a mulher em 2022. Anuário Brasileiro de Segurança Pública 2023, p.136-145. São Paulo, 2023. Disponível em:  https://forumseguranca.org.br/wp-content/uploads/2023/07/anuario-2023.pdf.

[3] JARVIS, Craig. Crypto wars: the fight for privacy in the digital age: A political history of digital encryption. CRC Press, 2020.

Pedro Amaral

Mestre e doutorando em sociologia pela Universidade Federal de Pernambuco. Graduado em Ciências Sociais pela Universidade Federal de Pernambuco e pela Universidade de Hamburgo, Alemanha. Pesquisador do Núcleo de Estudos e Pesquisas em Políticas de Segurança (Neps) da UFPE, desde 2014. Tem interesse na economia política da internet e nas dimensões interacionais da adoção de tecnologias. Tem feito pesquisa de campo desde 2012 e tem se dedicado mais à etnografia e métodos quantitativos. No IP.rec, atua na área de Privacidade em Vigilância, com ênfase em políticas de criptografia e tecnologia na segurança pública.