Fora da área de cobertura: as big techs na investigação criminal

Fora da área de cobertura: as big techs na investigação criminal

Olavo Evangelista Pezzotti*

16 de novembro de 2021 | 10h20

Olavo Evangelista Pezzotti. FOTO: ARQUIVO PESSOAL

O sucesso das atividades desenvolvidas por organizações criminosas ou terroristas pressupõe fortes conexões entre seus membros. Sem sólida associação, os grupos ilícitos operam sem sinergia e seus objetivos fracassam. E a construção de laços entre indivíduos que se unem em busca de objetivos comuns – ainda que ilegais – possui um fator indispensável: a comunicação. Não existe associação entre seres humanos sem comunicação.

É por isso que o sucesso de investigações relacionadas a estruturas ilícitas de poder depende do acesso às comunicações dos integrantes das organizações. São elas que revelam as camadas hierárquicas dos grupos, os objetivos da sua formação, as atividades estruturalmente ordenadas e o grau de participação de cada membro em crimes individualmente considerados.

Até meados da segunda década do século XXI, preponderavam nas investigações criminais e nas atividades de inteligência de Estado medidas de interceptação telefônica. A tecnologia avançou, as formas de comunicação se modificaram e as linhas telefônicas perderam importância. Os smartphones trouxeram aplicações que permitem comunicações instantâneas a baixo custo, além de uma importante tecnologia para a preservação da segurança do usuário – a criptografia de ponta-a-ponta.

Explicando superficialmente, na criptografia de ponta-a-ponta as comunicações entre origem e destino são codificadas. As chaves para revelar o conteúdo das mensagens não navegam com elas, permanecem nas mãos do remetente e do destinatário. Se um terceiro desviar a mensagem em trânsito ou dela obtiver uma cópia, verá apenas caracteres sem sentido e sem ordenação lógica. É impossível compreender o conteúdo da comunicação sem as chaves de criptografia.

Assim como empresas e indivíduos amparam-se nessa tecnologia para tutela da privacidade e para proteção de atividades comerciais, organizações criminosas, grupos terroristas e redes de pedofilia fazem mau uso da criptografia para promover as mais nocivas atividades humanas.

Diante da criptografia de ponta-a-ponta, os órgãos de investigação do Estado ficaram cegos e surdos por anos, enquanto organizações criminosas ganharam um terreno livre de atuação. As autoridades federais de persecução penal dos Estados Unidos – o FBI e o DOJ – envolveram-se em notáveis disputas judiciais com a Microsoft (Microsoft Corporation v. United States Department of Justice) e com a Apple, buscando acesso a dados e comunicações de usuários que as empresas de tecnologia defendiam estar protegidos pelo direito à privacidade.

O Estado aprendeu a contornar a criptografia e desenvolveu novas técnicas de investigação. Em vez de interceptar comunicações em fluxo, passou a buscar comunicações armazenadas, dados estáticos que repousavam em ambientes nos quais as chaves de criptografia também seriam encontradas ou em espaços de armazenamento simplesmente desprovidos de criptografia. Para substituir de maneira satisfatória as antigas medidas de interceptação, as novas técnicas deveriam permitir o acesso remoto a esses dados, sem necessidade de busca e apreensão físicas de dispositivos móveis ou informáticos. Funcionou.

Pode-se afirmar seguramente que as últimas grandes operações, no mundo, contra organizações criminosas, em repressão à pedofilia, à criminalidade organizada e ao terrorismo necessariamente contaram com acesso remoto de dados.

A atuação eficiente do Estado nesse campo gera um efeito colateral que afeta interesses econômicos das empresas de tecnologia. Quando indivíduos que usam aplicações de comunicação para práticas criminosas percebem que podem ser alcançados pelo Estado se utilizarem determinados softwares ou dispositivos, há uma tendência de migração para ambientes considerados menos vulneráveis à atuação repressiva. Usuários de boa-fé também acabam por migrar, em busca de maior proteção de suas comunicações. Por isso, as Big Techs precisam preservar a imagem de que as comunicações que transitam por suas aplicações ou nelas repousam são invioláveis – fidelizando o maior número possível de usuários.

Em recente reação às investigações estatais bem-sucedidas, Mark Zuckerberg (Meta, Facebook e Whatsapp) anunciou novos sistemas de criptografia que poderão impedir absolutamente o acesso remoto a dados de comunicação, lançando novamente as autoridades do Estado no escuro. Com as mudanças, os próprios armazenamentos em nuvem serão criptografados pelos aplicativos de mensagens instantâneas, impedindo o posterior acesso. Em paralelo, a Apple anunciou tecnologias voltadas a ocultar dados de navegação via Safari, dificultando a identificação e a rastreabilidade de usuários. A Google foi mais além e implementou alterações de criptografia em seus sistemas de nuvem sem viabilizar quaisquer discussões públicas, segundo cobertura da TechCrunch¹ e como já tem mostrado a prática dos órgãos de persecução penal brasileiros.

Embora o discurso das Big Techs seja no sentido de que as reformas visam proteger a privacidade e a segurança dos usuários, as novas ferramentas de criptografia de navegação da Apple, por exemplo, não serão implementadas em Estados ditatoriais – a exemplo de China e Arábia Saudita, cujos regimes são conhecidos por violações sistemáticas a direitos humanos, censura política, controle estrito sobre o acesso à informação e à manifestação do pensamento e pelo desprezo à privacidade dos usuários na internet[1]. A mesma empresa transferiu aos cuidados do governo chinês a custódia dos servidores com os dados de seus usuários, inclusive com eventuais chaves de acesso[2].

Justamente onde mais se precisa de proteção à privacidade, é comum que ferramentas de criptografia não se façam disponíveis e os discursos das Big Techs se tornem amenos. À evidência, as empresas cumprem as exigências ditatoriais para que possam operar nesses mercados, ainda que isso implique permitir que Estados totalitários continuem, por meio das plataformas digitais fornecidas por elas, a exercer vigilância abusiva contra os seus cidadãos.

Essas contradições – nada inéditas – revelaram às democracias que o discurso de “incapacidade técnica” para fornecer às autoridades os dados necessários às investigações só prepondera quando o Estado permite.

Ao longo dos últimos anos, os países integrantes da aliança “Five Eyes” – Reino Unido, Austrália, Canadá, Estados Unidos e Nova Zelândia – adotaram medidas para que o avanço nas tecnologias de criptografia não prejudicasse as atividades de inteligência de Estado, de segurança pública ou de law enforcement.

A Reuters expôs que, quando a Apple cogitou criptografar dados armazenados em seus serviços de nuvem, em meados de 2019, foi pressionada pelo FBI a desistir. Cedeu e, mais além, passou a prestar auxílio técnico ao FBI. Aparentemente satisfeito, o órgão policial arrefeceu a pressão pública[3]. Em 16 de fevereiro de 2016, uma corte estadunidense determinou à Apple o fornecimento de auxílio técnico e material ao FBI para acesso a um aparelho celular apreendido, inclusive com preparação e fornecimento de softwares destinados especificamente à coleta de dados no dispositivo[4].

Já a resposta Australiana ocorreu no plano legislativo. Em 2018, entrou em vigor o Telecommunications and Other Legislation Amendment Act (TOLA Act). O ato permite que as autoridades de Estado que tenham licitamente coletado dispositivos ou arquivos relativos a comunicações solicitem auxílio técnico às empresas de tecnologia (Technical Assistance Request – TAR), para acesso a conteúdo e a metadados, inclusive com remoção de “proteções eletrônicas” – o que expressamente abrange “bloqueios ou criptografia”[5].

Se a solicitação não for atendida, permite-se a emissão de requisição (Technical Assistance Notice – TAN), cujo descumprimento sujeita o destinatário a multas que podem chegar a milhões de dólares australianos. Por fim, se os resultados não forem assim alcançados, o Procurador-Geral pode emitir uma notificação para desenvolvimento de capacidade técnica (Technical Capability Notice – TCN), determinando-se a concepção de novas tecnologias ou mesmo a modificação ou a substituição de serviços, aplicações e produtos já existentes. Após dois anos de vigência da norma, constatou-se que as solicitações foram amplamente utilizadas pelas agências de Estado, mas as requisições e as TCNs nunca foram sequer emitidas[6]. Diante dos termos do ato, as empresas aparentemente cumprem as solicitações, sem espaços para alegações de limitações técnicas, cientes de que, em caso de recusa, seriam submetidas a medidas drásticas[7]

A tensão existente entre a necessidade de promoção da segurança e a proteção à privacidade no uso da tecnologia não encontra soluções simples e genéricas.

Por um lado, a criptografia melhora a cibersegurança, permite fluxos comerciais céleres e seguros e protege a privacidade dos usuários de aplicações de internet. Mais além, eficientes ferramentas de criptografia são compatíveis com os preceitos constitucionais e legais do Brasil, que preveem como direito fundamental o sigilo das comunicações, em fluxo ou já armazenadas (art. 5º, X e XII, da Constituição Federal; art. 7º da Lei n. 12.965/2014). Em contrapartida, esses instrumentos não podem criar um espaço alheio ao direito, no qual práticas criminosas se desenvolvem sem qualquer possibilidade de contenção. O ciberespaço está sujeito às leis do universo em que está inserido – o Estado de Direito.

Por isso, o direito brasileiro admite que o sigilo das comunicações ou de dados seja afastado excepcionalmente, para fins de investigação criminal ou instrução processual penal. O sigilo é a regra; o acesso pelo Estado, medida excepcional e estritamente regulamentada.

O primeiro ponto a se recordar é que somente o Poder Judiciário está autorizado a afastar o sigilo das comunicações para tais propósitos. Quando juízes determinam as chamadas quebras de sigilo de comunicações ou de dados, promovem um juízo de sopesamento entre os valores da privacidade e da segurança. Se, ao analisar os requisitos legais e as circunstâncias do caso, o Poder Judiciário entender que a privacidade deve ser afastada para permitir que o Estado acesse as comunicações, sua decisão estará amparada pela autoridade da soberania nacional. Ninguém – nem mesmo as poderosas Big Techs – poderá emitir juízos que se sobreponham à autoridade judicial. Apenas as instâncias superiores do próprio Poder Judiciário podem modificar a decisão.

Permitir que empresas estrangeiras façam novo juízo de valor para dizer que a privacidade deve preponderar em favor de seus clientes é levar o Poder Judiciário a renunciar a parcela da soberania nacional. A decisão sobre o que deve prevalecer em um juízo de ponderação entre direitos fundamentais – no caso, privacidade e segurança – não pode caber a uma empresa de tecnologia estrangeira e economicamente interessada.

Nesse espaço de controvérsia, as Big Techs buscam convencer o Poder Judiciário e as autoridades de persecução penal de que não possuem aptidão técnica para garantir o acesso às comunicações. Ocorre que a ninguém é dado o direito de descumprir decisões judiciais invocando obstáculos concebidos e mantidos pelo próprio destinatário da ordem. Assim, se o Estado tem, hoje, acesso às comunicações, a implementação de nova tecnologia que leve à impossibilidade de cumprimento de decisões judiciais futuras não poderá ser invocada para justificar a desobediência.

As empresas que possuem autorização para prestação de serviços de comunicação e tecnologia no Brasil devem observar integralmente o direito nacional, o que inclui o respeito às decisões judiciais que afastem o sigilo das comunicações de usuários. Por isso, tecnologias de criptografia ou proteção devem contar com ferramentas alternativas que garantam o cumprimento de medidas determinadas pelos juízes brasileiros. Em caso de desobediência, multas deverão ser impostas, com exigência de remoção das proteções eletrônicas ou determinação de modificação ou substituição de serviços e aplicações fornecidos aos usuários especificados nas decisões judiciais. Afinal, se as Big Techs possuem capacidade técnica para dar suporte à vigilância em ditaduras, com maior razão podem desenvolver instrumentos para cumprir as decisões proferidas pelo Poder Judiciário em Estados Democráticos, sob princípios democráticos e com os mecanismos de proteção de direitos concebidos e operados pelas leis e pelas autoridades locais.

*Olavo Evangelista Pezzotti, promotor de Justiça. Doutorando e mestre em Direito Processual Penal pela USP. Visiting Scholar na Stanford Law School

[1] https://www.reuters.com/world/china/apples-new-private-relay-feature-will-not-be-available-china-2021-06-07/.

[2] https://www.nytimes.com/2021/05/17/technology/apple-china-censorship-data.html.

[3] https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT

[4] UNITED STATES. United States District Court for the Central District of California. ED n. 15-0451M. Order Compelling Apple to Assist Agents in Search.

[5] COMMONWEALTH OF AUSTRALIA. Telecommunications and Other Legislation Amendment. Schedule 1, Section 317B, lines 25-27.

[6] AUSTRALIAN GOVERNMENT. Independent National Security Legislation Monitor. Trust but Verify: a report concerning the Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018 and related matters. 9th Report. 2020, p. 27, 71-77.

[7] STILGHERRIAN. The Encryption Debate in Australia: 2021 Update. Washington: Carnegie Endowment for International Peace and Princeton University, 2021, p.2.

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.