O Instituto de Pesquisa em Direito e Tecnologia do Recife [1] e a Coding Rights [2], entidades membras da Coalizão Direitos na Rede e atuantes no campo de direitos humanos e tecnologia, apresentam comentários ao artigo 10 do Projeto de Lei n. 2630/2020, de autoria do Senador Alessandro Vieira, que, aprovado no Senado, tramita agora na Câmara dos Deputados. 

O Projeto de Lei em questão visa introduzir no Brasil a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, por meio da regulação de comportamentos na rede.

De uma maneira geral, entendemos a preocupação com mecanismos capazes de combater a disseminação das notícias falsas online, na medida em que determinadas práticas online têm se mostrado cada vez mais nocivas à garantia do direito de acesso à informação e a uma Internet segura e verdadeiramente livre. No entanto, é importante ressaltar que a legislação deve preservar direitos dos usuários à liberdade de expressão e à privacidade, além de ter por princípio a minimização de eventuais interferências na rede.

Em função disso, o presente posicionamento traz alguns pontos sobre o artigo 10 do Projeto de Lei em questão, bem como os possíveis riscos apresentados pela implementação da rastreabilidade dos metadados da cadeia de envio de mensagem em aplicativos de mensageria privada. Para tal, será dividido nas seguintes sessões: 

1. Violações à privacidade ao se implementar vigilância e rastreamento massivo de mensagens;
2. Chilling effect na liberdade de expressão;
3. Característica multiplataforma do compartilhamento de conteúdos e ineficácia da medida; 
4. Criptografia como ferramenta de garantia de direitos; e 
5. Considerações Finais. 

A presente manifestação usou como base o texto do PL 2630/2020 aprovado pelo Senado no último dia 30 de junho e recebido na Câmara dos Deputados no dia 03 de julho de 2020 [3]. O artigo 10, ora comentado, encontra-se assim redigido:

Art. 10. Os serviços de mensageria privada devem guardar os registros dos envios de mensagens veiculadas em encaminhamentos em massa, pelo prazo de 3 (três) meses, resguardada a privacidade do conteúdo das mensagens.

1º Considera-se encaminhamento em massa o envio de uma mesma mensagem por mais de 5 (cinco) usuários, em intervalo de até 15 (quinze) dias, para grupos de conversas, listas de transmissão ou mecanismos similares de agrupamento de múltiplos destinatários.

2º Os registros de que trata o caput devem conter a indicação dos usuários que realizaram encaminhamentos em massa da mensagem, com data e horário do encaminhamento e o quantitativo total de usuários que receberam a mensagem.

3º O acesso aos registros somente poderá ocorrer com o objetivo de responsabilização pelo encaminhamento em massa de conteúdo ilícito, para constituição de prova em investigação criminal e em instrução processual penal, mediante ordem judicial, nos termos da Seção IV do Capítulo III da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).

4º A obrigatoriedade de guarda prevista neste artigo não se aplica às mensagens que alcançarem quantitativo total inferior a 1.000 (mil) usuários, devendo seus registros ser destruídos nos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

1 – Violações à privacidade ao se implementar vigilância e rastreamento massivo de mensagens

O texto aprovado pelo Senado sobre rastreabilidade de mensagens carrega diversos problemas, que serão tratados no presente documento. Mas, em essência, trata-se de um dispositivo que colocará em prática o rastreamento massivo de mensagens, promovendo uma vigilância sem precedentes [4] sobre os usuários dos serviços de mensageria privada e desproporcional em relação aos ilícitos que deseja combater.

A guarda massiva de dados se dará, caso esse dispositivo permaneça no texto, porque, embora o artigo traga alguns parâmetros para a retenção dessas informações, na prática é mais difícil concretizar o que a lei demanda. E isso acontece porque os serviços de mensageria não têm como prever quais mensagens atingirão os critérios legais (envio da mensagem por mais de 5 usuários, num intervalo de 15 dias, atingindo mais de 1000 usuários), de forma que todas as mensagens deverão ser rastreadas por padrão para cumprimento da desmedida obrigação. Ou seja, tecnicamente, a coleta será massiva e prévia à identificação de mensagens suspeitas, apesar dessa condição não estar explícita no texto.

Além disso, junto à cadeia de encaminhamento, os provedores de aplicação de mensagens terão que elaborar uma espécie de “carimbo” ou “selo” que acompanharão a mensagem, de forma que se possa efetivamente identificar o rastro da cadeia de envio. Neste “selo”, ou “carimbo”, constarão informações sobre o remetente e também sobre o destinatário da mensagem, provavelmente, número de telefone, além de dados como data e horário do envio.

Esse cenário de coleta massiva e prévia de toda a cadeia de encaminhamento de uma mensagem faz com que os provedores de mensageria privada coletem mais dados que o necessário para o provimento do serviço, o que claramente vai contra o princípio da necessidade expresso na Lei Geral de Proteção de Dados (art. 6º, III). Além disso, trata-se da guarda de todas as interações de um usuário na plataforma disponível para eventual uso de autoridades de investigação, o que pode gerar um cenário de perseguição de grupos marginalizados, em um contexto político em que já são alvo de ataques de milícias digitais. É interessante ressaltar, neste ponto, que as referidas plataformas são largamente utilizadas para mobilizações políticas legítimas, fazendo com que tais grupos fiquem expostos através da guarda e do mapeamento de suas interações.

Apesar do texto tentar promover salvaguardas mínimas para a coleta dos metadados de envio de mensagens que viralizam, entendemos que os conceitos adotados pela redação do artigo 10 são ainda relativos e inconsistentes. Levando em consideração a atual rapidez característica à disseminação de conteúdos online, é importante pensar que medidas que seguem a linha de responsabilização e monitoramento dos usuários são prejudiciais para a liberdade de expressão e acabarão por incentivar auto-censura. Na mesma linha, o relator de liberdade de expressão da Organização das Nações Unidas, David Kaye, destacou a importância de ferramentas que garantam a não interferência ou alteração nos fluxos de comunicações interpessoais – como a criptografia ponta-a-ponta – para que os usuários tenham confiança nas plataformas e comunicações recebidas (A/HRC/23/40 e Corr.1, par. 23).

Além disso, mesmo pessoas que não repassem um determinado conteúdo com a intenção de desinformar, mas realizem o encaminhamento para fins de denúncia, por exemplo, seriam enquadradas como partícipes da viralização do conteúdo, tendo, por consequência, seus dados armazenados. Essa lógica de coleta massiva de dados pessoais como medida de precaução para caso alguém incorra em atividade suspeita resulta na inversão do princípio constitucional da presunção de inocência (art 5º, LVII, da CF), que deve ser a regra probatória. Ou seja, não pode recair sobre os indivíduos o ônus de provar que é inocente. Mas a coleta massiva de dados pessoais parte do pressuposto de que todos são suspeitos, uma afronta não só à Constituição, como a princípios democráticos. Portanto, pelo aspecto de clara inconstitucionalidade a referida medida deveria ser, de pronto, rechaçada.

Recentemente, na ocasião do julgamento conjunto da Ação Direta de Inconstitucionalidade (ADI) 5527 e da Arguição de Descumprimento de Preceito Fundamental (ADPF) 403, que tinham como objetivo analisar a constitucionalidade dos bloqueios do WhatsApp decretados no Brasil entre 2015 e 2016, votos de Ministros do Supremo Tribunal Federal reforçaram o entendimento que o sigilo das comunicações é uma garantia constitucional, especialmente nos casos daquelas facilitadas pela Internet. No julgamento em questão, os votos dos ministros Edson Fachin e Rosa Weber reforçaram que a proteção da privacidade é uma garantia instrumental do direito à liberdade de expressão e que os direitos digitais são também direitos fundamentais.

Sobre o ponto da coleta de metadados e riscos à privacidade, não são novas as discussões sobre os efeitos da coleta massiva de dados de usuários dessas plataformas e o quão reveladoras podem ser essas informações. Metadados podem permitir a especificação de comportamentos individuais, relações sociais e até a identidade das pessoas. Em se tratando de metadados relativos a comunicações interpessoais, a medida se torna ainda mais temerária ao passo que permite o mapeamento de cadeias de comunicações entre usuários, bem como a identificação de hábitos e preferência de interlocutores. Aqui, o “metadado” é informação que pode permitir a identificação de usuários – horários de envio e recebimento, bem como nomes de remetentes e destinatários – e, de acordo com a própria Lei Geral de Proteção de Dados, ser vista como dado pessoal passível de proteção. 

O disposto no artigo 10 do Projeto de Lei em questão é, portanto, preocupante ante as eventuais relativizações do direito à privacidade e proteção de dados que o texto promove, além de pretender implementar um mecanismo de vigilância massivo que poderia representar efeitos imediatos nos comportamentos dos usuários de aplicativos de mensageria. Pouco se sabe, ainda, sobre a possibilidade de implementação da medida por parte do setor privado e qual o nível de influência direta na criptografia ponta-a-ponta, ferramenta garantidora do sigilo das mensagens trocadas entre usuários. 

2 – Chilling effect na liberdade de expressão

A privacidade permite aos usuários de Internet a construção de uma zona segura de exercício da sua liberdade de expressão sem que sejam sujeitos a interferências arbitrárias e ilegais. Esse é um dos apontamentos do relatório do Relator Especial da ONU para a promoção e proteção do direito à liberdade de expressão e opinião, David Kaye, publicado em 2015.

No caso da rastreabilidade de mensagens privadas proposta pelo texto do PL 2630/2020, pelo fato de ser uma coleta desnecessária à prestação do serviço, há, de saída, uma invasão à privacidade dos usuários dessas plataformas. Consequentemente, segundo a conclusão de Kaye, pode-se falar num efeito negativo à liberdade de expressão dos cidadãos brasileiros, caso essa solução seja levada a cabo pelo Legislativo.

Isso ocorre porque, ao imaginar que está sendo monitorado, o usuário não se manifestará livremente. A Ministra Rosa Weber, do Supremo Tribunal Federal, no voto proferido no âmbito do julgamento da ADI 5527, que trata dos bloqueios do aplicativo Whatsapp, se manifestou sobre este ponto, afirmando que

“Integra o pleno exercício das liberdades de expressão e de comunicação a capacidade das pessoas de escolherem livremente as informações que pretendem compartilhar, as ideias que pretendem discutir, o estilo de linguagem empregado e o meio de comunicação. O conhecimento de que a comunicação é monitorada por terceiros interfere em todos esses elementos componentes da liberdade de informação: os cidadãos podem mudar o modo de se expressar ou até mesmo absterem-se de falar sobre certos assuntos, no que a doutrina designa por efeito inibitório (chilling effect) sobre a liberdade de expressão.”

Nesse sentido, gera-se um cenário de grande desconfiança das instituições e de restrição das comunicações, inibidas pela vigilância contínua, configurando-se, por consequência, uma ameaça à democracia, já que esta não pode existir sem liberdade de expressão. Assim, faz-se necessário um redirecionamento do Projeto de Lei para que em nada esbarre na liberdade de expressão e na privacidade dos usuários de Internet do Brasil e, assim, preserve-se o debate democrático.

3 – Característica multiplataforma do compartilhamento de conteúdos e ineficácia da medida

Outro ponto importante da presente discussão é o da característica multiplataforma do compartilhamento de conteúdos. Essa característica se refere ao fato de que, normalmente, as pessoas compartilham em uma plataforma conteúdo que originalmente foi publicado em outra: conteúdos são derivados de “print screens” do Twitter e enviados no WhatsApp; vídeos que estão no Youtube e são compartilhados no Facebook; ou memes que são recebidos no WhatsApp e são, posteriormente, tuitados e espalhados em outras mídias.

Esse comportamento dos usuários tem impacto no rastreamento proposto pelo projeto de lei. Isso porque, mesmo caso esse rastreamento tenha a capacidade de, de fato, chegar no primeiro usuário que enviou o conteúdo investigado (algo bastante questionável), muito provavelmente não será este primeiro usuário o autor daquela mensagem, o que torna a medida ineficaz, considerando que a pessoa apenas repassou o conteúdo.

No mesmo sentido, sabe-se que é possível driblar o rastreamento proposto. O simples ato de, ao invés de compartilhar diretamente, baixar o conteúdo para o dispositivo e reencaminhá-lo, torna a mensagem “inédita”, mesmo que ela seja a mesma enviada anteriormente. Do ponto de vista técnico, tem-se ali uma nova mensagem e uma nova cadeia. O mesmo acontece quando o usuário faz um print (uma foto) da tela do dispositivo, celular ou computador. Portanto, formas muito fáceis e já amplamente utilizadas de quebrar a cadeia de encaminhamento, de forma que a anterior não mais seja rastreada, perdendo-se, portanto, o fio condutor até o “envio original”, com potencial de culpabilizar intermediários, meros cidadãos que estão repassando desinformação de forma desavisada, ou nem tanto, mas que não devem responder por um esquema maior e coordenado de disseminação desse conteúdo. 

Portanto, percebe-se que a medida de rastreamento de mensagens privadas, além de inconstitucional, mostra-se ineficaz para o combate à desinformação, objetivo do presente projeto de lei.

4 – Criptografia como ferramenta de garantia de direitos 

A criptografia ponta-a-ponta é um protocolo que garante o sigilo, a integridade e a autenticação de mensagens trocadas entre duas ou mais pessoas. O protocolo garante que um terceiro, estranho à comunicação, incluindo a própria aplicação, não tenha acesso ao texto puro das mensagens por ela trocadas. Mesmo que as chaves de encriptação de um usuário sejam fisicamente comprometidas, elas não poderão ser utilizadas para decriptar mensagens passadas, garantindo, portanto, o sigilo da comunicação.

É importante pontuar que o sistema de criptografia ponta-a-ponta gera um fundamental elemento de confiabilidade no canal de comunicação: as partes envolvidas têm segurança de que suas mensagens só serão acessíveis pelo emissor e receptor, sem possibilidade de interceptação para acesso ou adulteração ao conteúdo, confusão sobre a identidade dos participantes ou inferências a partir do mapeamento de todos os envios. Uma vez que recursos sejam implementados de forma a romper esse sistema de confiança, como a possibilidade do monitoramento em massa do rastro das mensagens, ainda que não haja “quebra da criptografia”, como alguns podem argumentar, o fundamento de confiabilidade da criptografia ponta-a-ponta é frustrado. Seja a partir de uma interferência direta nos dispositivos das partes ou seja a guarda prévia do histórico de encaminhamentos pelo administrador da plataforma, como pretende o dispositivo do art. 10, a proteção ao sigilo é esvaziada.

Tanto a Unesco [5] como o Conselho de Direitos Humanos da ONU já reconhecem o papel da criptografia na promoção de direitos humanos, em particular os direitos à privacidade, à liberdade de expressão e à liberdade de reunião e associação pacífica. Em resolução recente sobre a promoção e proteção de todos os direitos humanos, civis, direitos políticos, econômicos, sociais e culturais [6], o Conselho ressaltou a “necessidade de implementação de soluções técnicas para proteger a confidencialidade das comunicações digitais, incluindo medidas de criptografia e anonimato”. Tal visão é confirmada por organizações internacionais da sociedade civil, como a Anistia Internacional [7] e, nacionalmente, pela Coalizão Direitos na Rede.

No Brasil, recentemente houve o início do julgamento das ações relativas aos bloqueios do aplicativo Whatsapp, ADPF 403 e ADI 5527, relatadas pelos Ministros Edson Fachin e Rosa Weber, respectivamente. Nos votos, os dois relatores foram enfáticos ao ressaltar a importância da criptografia para o uso seguro da Internet, bem como na preservação da privacidade.  Afirmou a Ministra Rosa Weber que “não pode o Estado compeli-lo [o aplicativo] a oferecer um serviço menos seguro e vulnerável, sob o pretexto de que pode vir, eventualmente, a utilizar essa vulnerabilidade artificial, para cumprir ordem judicial a respeito.” O Ministro Edson Fachin, no mesmo sentido, defendeu que a criptografia é “um meio de se assegurar a proteção de direitos que, em uma sociedade democrática, são essenciais para a vida pública”.

Assim, embora o texto do projeto de lei não disponha sobre a quebra ou a proibição do uso de ferramentas criptográficas, abre margem para considerações do tipo, uma vez que não é possível unir as cadeias de mensagem quebradas sem que se tenha acesso ao conteúdo das mensagens. Qualquer movimento nesse sentido decorreria em violação ainda mais grave da privacidade de todos os indivíduos que usam aplicativos de chat que se encaixam no escopo da lei, razão pela qual afirmamos aqui a importância da proteção da criptografia como elemento essencial para a proteção de direitos fundamentais.

5 – Considerações finais

O Projeto da Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, portanto, no ponto aqui comentado, qual seja, o art. 10, que dispõe sobre a rastreabilidade de mensagens em aplicativos de mensageria privada, se mostra inconstitucional ao determinar vigilância em massa e inverter a presunção de inocência. Traz, portanto, um enorme prejuízo aos consumidores de serviços de Internet no Brasil enquanto que, em contrapartida, por ser facilmente burlável,  mesmo que sem intenção para tal (com um simples copiar e colar), tampouco se mostra eficaz para resolver o grande problema da desinformação no debate público

Por todo o exposto, é opinião do Instituto de Pesquisa em Direito e Tecnologia do Recife – IP.rec e da Coding Rights que o dispositivo em questão seja suprimido do projeto de lei 2630/2020, dando prevalência que se adotem técnicas de investigação focadas em indivíduos sob os quais já incorra fundamentada suspeita. 

—

NOTAS:

[1] Site do Instituto de Pesquisa em Direito e Tecnologia do Recife: https://ip.rec.br/

[2] Site da Coding Rights: https://www.codingrights.org/

[3] Link para a tramitação do Projeto de Lei na Câmara dos Deputados: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2256735

[4] No mesmo sentido:  https://www1.folha.uol.com.br/opiniao/2020/07/monitoramento-constante.shtml?origin=folha

[5] Disponível em: https://unesdoc.unesco.org/ark:/48223/pf0000246527

[6] Resolução do Conselho de Direitos Humanos da Organização das Nações Unidas – A/HRC/38/L.10/Rev.1 – https://ap.ohchr.org/documents/dpage_e.aspx?si=A/HRC/38/L.10/Rev.1 

[7] Disponível em: https://www.amnestyusa.org/reports/encryption-a-matter-of-human-rights/ 

Institucional