A crescente sofisticação das redes criminosas no uso de tecnologias de privacidade digital está levando a União Europeia (UE) a revisar radicalmente suas políticas de segurança cibernética e segurança pública. Em seu novo relatório IOCTA 2025 (Internet Organised Crime Threat Assessment), a Europol lança luz sobre o uso crescente de tecnologias como redes Tor, VPNs e aplicativos com criptografia de ponta a ponta para evitar a vigilância e dificultar investigações, ocultando suas comunicações e atividades.

Como resposta, o relatório recomenda a criação de “backdoors legais” que permitam o acesso autorizado a mensagens criptografadas e defende a padronização e ampliação da retenção de metadados, incluindo endereços IP e registros de conexão, dados que, mesmo sem revelar o conteúdo das mensagens, podem expor padrões comportamentais, relações e localização geográfica dos usuários.

Essas propostas compõem uma nova agenda de segurança digital, que deve ser debatida em julho de 2025, no Conselho de Justiça e Assuntos Internos da UE, e que poderá moldar o futuro da privacidade online para milhões de cidadãos.

Da Criptografia ao Contexto: O Valor Estratégico dos Metadados

Embora a criptografia moderna continue sendo uma barreira eficaz contra a interceptação de conteúdo, protegendo o conteúdo das mensagens, os metadados representam uma nova fronteira para a vigilância digital. 

Segundo a Europol, a análise de metadados pode permitir reconstruir redes criminosas mesmo sem acesso ao conteúdo das mensagens. 

Atualmente, a legislação sobre metadados varia amplamente entre os Estados-membros da UE, o que, segundo o relatório, prejudica a eficácia de ações coordenadas contra o crime organizado e o terrorismo. Isso levou à pressão por uma regulamentação uniforme da retenção de dados

Assim, a Comissão Europeia anunciou em junho de 2025 um roteiro político que visa, entre outras coisas:

• Revisar as normas de retenção de dados ainda em 2025;
• Facilitar o acesso transnacional a dados em tempo real até 2027;
• Lançar um Technology Roadmap sobre criptografia até 2026, com foco em soluções técnicas que permitam acesso autorizado a comunicações criptografadas;
• Fortalecer a Europol com capacidades avançadas de decriptação até 2030.

Essas medidas são justificadas como necessárias para lidar com ameaças digitais emergentes, mas provocam fortes reações de organizações da sociedade civil, especialistas e defensores da privacidade, que veem nelas riscos estruturais à segurança digital.

Metadados: A Vigilância Invisível e Seus Riscos Sistêmicos

Os metadados têm se tornado o principal vetor da vigilância digital moderna. Embora não revelem diretamente o conteúdo das mensagens, eles permitem inferir com grande precisão quem falou com quem, quando, onde e por quanto tempo. Essa informação, agregada, é suficiente para construir mapas detalhados de relacionamentos, hábitos, rotinas e até afiliações políticas e religiosas. Estudos da Universidade de Stanford mostram que padrões de chamadas e localização são suficientes para deduzir informações sensíveis sobre saúde, orientação sexual e crenças pessoais.

Na UE, o Tribunal de Justiça já se posicionou contra a retenção massiva e indiscriminada de dados, casos emblemáticos como Digital Rights Ireland (2014) e Tele2 Sverige AB (2016) declararam tais práticas ilegais por violarem os princípios de proporcionalidade e necessidade.

Ainda assim, a proposta atual ignora esses precedentes e retoma a lógica da vigilância em larga escala, desta vez sob a justificativa de “eficiência investigativa”. Trata-se de um passo perigoso rumo a uma normalização da exceção, em que a coleta e o monitoramento se tornam regra, e o sigilo, um privilégio condicionado à aprovação estatal.

Backdoors e o Precedente do eIDAS 2.0: Quando a Infraestrutura de Confiança é Politizada

O debate atual sobre acesso a comunicações criptografadas e metadados não ocorre isoladamente. Ele retoma, em nova roupagem, um problema já conhecido: o risco de centralizar demais o controle sobre a confiança digital nas mãos dos Estados. Esse risco ficou evidente em 2024, com a aprovação do controverso Artigo 45 do eIDAS 2.0, uma norma que obrigou navegadores de internet a aceitarem certificados digitais emitidos por autoridades governamentais da UE, mesmo que essas autoridades não fossem confiáveis para a comunidade técnica ou para os próprios navegadores.

O que está em jogo aqui, assim como nas novas propostas, não é apenas uma questão técnica, mas política: trata-se de permitir que governos tenham acesso especial a mecanismos de segurança digital sob a justificativa de segurança pública. No caso do eIDAS, o impacto foi no sistema de certificação dos sites, os governos passaram a poder atestar, de forma incontestável, que um site é seguro, mesmo que esse selo venha de interesses estatais, não necessariamente da neutralidade técnica.

Agora, com a proposta de “backdoors legais” e ampliação da coleta de metadados, vemos uma lógica semelhante aplicada à criptografia e à comunicação privada. O problema é que essa confiança é frágil. Se um governo, atual ou futuro, abusa desse poder, ou se essas “portas” forem exploradas por terceiros mal-intencionados, a segurança de todos estará comprometida. Da mesma forma que o eIDAS 2.0 minou a confiança nos navegadores e na navegação segura, essas novas propostas podem minar a confiança na comunicação privada, criando um ambiente onde a vigilância se normaliza e a proteção se relativiza.

Ambos os casos, eIDAS e IOCTA 2025, partem da mesma ideia central: que a segurança pública justifica a criação de exceções dentro dos sistemas projetados justamente para impedir abusos. O que se ignora, perigosamente, é que essas exceções abrem precedentes que podem ser usados contra os próprios cidadãos.

O Paradoxo Europeu: Avanço Tecnológico vs. Direitos Fundamentais

A União Europeia se posiciona frequentemente como líder global na defesa dos direitos digitais, como com a criação do Regulamento Geral de Proteção de Dados (GDPR), considerado um marco internacional em privacidade e proteção de dados. No entanto, suas recentes propostas em nome da segurança pública parecem colocar essa reputação em risco. 

A criptografia e os metadados ocupam papéis complementares na proteção da privacidade digital. Enquanto a criptografia garante o sigilo do conteúdo das comunicações, os metadados armazenam o contexto, a estrutura e os padrões de comportamento dos usuários. Ao propor o enfraquecimento da criptografia por meio de mecanismos de acesso legal e, simultaneamente, ampliar a retenção e o uso investigativo de metadados, a União Europeia coloca em risco dois pilares técnicos que sustentam a confidencialidade e a autonomia no ambiente digital, levantando uma contradição fundamental: como promover a segurança digital comprometendo os próprios fundamentos que garantem a segurança?

As propostas que hoje estão em discussão definem os contornos da privacidade na era digital. Trata-se de decidir se os cidadãos continuarão a ter espaços seguros de comunicação e expressão ou se toda atividade será, por padrão, registrada, analisada e potencialmente monitorada.

Não se trata de rejeitar medidas de segurança, mas de reconhecer que as escolhas feitas agora moldarão a relação entre indivíduos, Estado e tecnologia. O equilíbrio entre segurança e privacidade não será alcançado por atalhos técnicos ou decisões unilaterais, mas por um diálogo transparente e plural.

Proteger a criptografia é proteger a democracia. E como demonstram os debates sobre o eIDAS 2.0 e o IOCTA 2025, as decisões tomadas hoje terão impacto direto sobre a integridade da infraestrutura digital que sustenta nossas vidas amanhã.

Luana Batista

Graduada em Engenharia da Computação pela Universidade Federal do Sul e Sudeste do Pará (Unifesspa) e pesquisadora nas áreas de telecomunicações e inteligência artificial. No IP.rec, atua na área de Algoritmos e Inteligência Artificial e no Observatório da Criptografia (ObCrypto).