Geral 5min de Leitura - 09 de junho de 2020

Entre o combate e a invasão

Martelo juridico sobre a mesa

This post is also available in: Português

Nova tentativa de combater notícias falsas no Brasil pode atingir a privacidade e o direito de livre expressão.

O Senado brasileiro corre para aprovar um projeto de lei que pode comprometer seriamente a privacidade e a liberdade de expressão. Nomeado como “Lei das Fake News”, o PL 2.630/2020 visa solucionar um problema complexo, cujas respostas devem ser cuidadosamente planejadas de maneira democrática e participativa.

Ao contrário do Marco Civil da Internet, lei aprovada em 2014 com ampla e intensa participação social, o novo Projeto de Lei é marcado por um debate apressado, durante um período de atividades legislativas limitadas devido à pandemia da COVID-19.

Depois que uma versão alarmante e não oficialmente do texto foi quase votada na semana passada, o autor original do projeto apresentou um texto substituto – e há outras propostas em discussão. Buscando conter a disseminação da desinformação on-line, o projeto de lei carece de precisão para evitar relatórios e interpretações abusivas.

Pontos polêmicos

Alguns trechos do PL geram discussões acaloradas. Um deles diz respeito à obrigação dos fornecedores em manter registros da cadeia de comunicações por um ano. Nesse contexto, redes sociais e os aplicativos de mensagens privadas seriam obrigados a manter a cadeia inteira de arquivos encaminhados, rastreando todos os seus pontos, independentemente da distribuição do conteúdo ter sido feita de maneira maliciosa na origem ou ao longo do processo. Essa é uma obrigação enorme de retenção de dados, que afeta milhões de usuários, ao invés de apenas aqueles investigados por um ato ilegal.

Embora o Brasil já tenha a obrigação de reter metadados de comunicações específicas, a regra proposta vai além. Conhecer a cadeia de comunicações encaminhadas implica que um determinado conteúdo esteja vinculado ao histórico de metadados, e será usado exatamente para rastrear a origem de um conteúdo que já é conhecido.

Essa obrigação corrói as principais proteções oferecidas pelos aplicativos criptografados ponto a ponto, visando exatamente garantir comunicações confidenciais. E há razões legítimas para protegê-las. A comunicação entre jornalistas e suas fontes, autoridades policiais discutindo aspectos importantes das investigações contra um político poderoso, comunidades organizando maneiras de resistir ao assédio e muito mais.

A montagem de uma cadeia de comunicação pode revelar características altamente privadas das pessoas, grupos e suas interações, mesmo quando nenhum deles está realmente envolvido com atividades ilegais – deixando as portas abertas para possíveis abusos.

A proposta exige um mandado antes que os fornecedores entreguem a cadeia de metadados, mas esse acesso não se limita a casos criminais. Qualquer parte interessada pode exigir essas informações a um juiz em uma ação civil. Além disso, os parâmetros que um juiz deve considerar para autorizar a medida fornecem uma barreira muito menor do que é estabelecido na Lei de Interceptação Telefônica do Brasil.

O problema tende a ser maior para grupos vulneráveis, ativistas, movimentos sociais e jornalistas, principalmente em contextos locais de disputa e assédio. Basta lembrar que, mesmo com as proteções mais fortes da Lei de Interceptação, a Corte Interamericana de Direitos Humanos condenou o Brasil por interceptação ilegal contra representantes de movimentos sociais, onde os pré-requisitos não foram cumpridos adequadamente.

Outro ponto é que essa obrigação não leva em consideração a maneira com a qual as arquiteturas de comunicação mais descentralizadas funcionam. Ele pressupõe que os provedores de aplicativos sempre podem identificar e distinguir os conteúdos encaminhado e os não encaminhados, além de identificar a origem de uma mensagem encaminhada. Isso depende da arquitetura e da relação entre o aplicativo e o serviço.

Quando os dois são independentes, é comum que não seja possível diferenciar entre conteúdo encaminhado e não encaminhado, e que o aplicativo não armazene o histórico de encaminhamento – exceto no dispositivo do usuário.

Essa separação arquitetural é muito tradicional nos serviços de Internet e, embora hoje seja menos comum nos aplicativos de mensagens privadas mais usados, a obrigação limitaria o uso de XMPP – um protocolo aberto para sistemas de mensagens instantâneas – ou soluções semelhantes. A obrigação também pode afetar negativamente os aplicativos de mensagens de código aberto, projetados para permitir que os usuários não apenas entendam, mas também alterem suas funcionalidades.

Errando o alvo

Mesmo sem restringir um conteúdo específico, a proposta proíbe “contas não autênticas” e “contas automatizadas não identificadas”, sendo essa última nos casos em que o usuário não informa o uso da automação para o provedor e o público em geral. Pelo menos para “contas não autênticas”, isso implicaria uma obrigação geral de monitoramento legal da identidade dos usuários, com implicações graves para a privacidade e a livre expressão.

As contas geralmente combinam ações automatizadas e não automatizadas. A proposta procura conter atividades maliciosas de robôs, mas atinge uma infinidade de outros usos. Empresas e grandes organizações têm ferramentas para ajudar a gerenciar redes sociais que permitem que funcionários diferentes publiquem sem ter acesso direto à conta e suas credenciais – o que não necessariamente transforma essa conta em um bot.

E mais: muitas campanhas usam ferramentas que permitem aos usuários postar mensagens padrão através de seus próprios perfis, não os configurando como bots. As ferramentas cruciais para o debate público e as contas que ingressam nessas campanhas seriam alvo de denúncias e censura abusivas. Abusos semelhantes acontecem aos montes, com base nos termos de serviços das plataformas e afetam desproporcionalmente grupos vulneráveis.

Para piorar a situação, essas definições gerais podem servir para criminalizar ativistas, movimentos sociais e organizações. A proposta inclui a operação de contas não autênticas, contas automatizadas não identificadas ou redes de distribuição artificial não identificadas como semelhantes às organizações criminosas, encaixando-se ainda nas leis de lavagem de dinheiro do país, com altas penas de prisão. Além disso, essas leis autorizam os promotores e a polícia a acessar os dados dos usuários sem ordem judicial em investigações criminais.

Identificando todo mundo

O projeto de lei obriga grandes redes sociais e aplicativos de mensagens privadas a exigir que todos os usuários sejam identificados. Seria um requisito retroativo, o que significa que todos aqueles que já possuem contas terão que apresentar um documento de identificação.

Propostas como essa sempre vêm com uma série de perigos. Embora a lei garanta o uso de um pseudônimo para o público em geral, e exija uma ordem judicial para obter a identidade real do usuário, traz consigo exceções questionáveis.

As infrações criminais criadas pelo projeto de lei, incluídas nas leis sobre organizações criminosas e lavagem de dinheiro, poderiam servir para autorizar o chefe da polícia civil e os promotores a acessar os dados dos usuários, incluindo nome e endereço, sem mandado.

Além disso, com aplicativos obrigados a obter mais informações sobre os usuários, existem maiores riscos relacionados a violações de dados e crimes relacionados, como o roubo de identidade e fraude – um risco que não poupa sequer grandes nomes, como o Facebook ou o Twitter e Instagram. De fato, as tentativas de “estabelecer identidade autêntica” para combater a desinformação online tendem a levar a uma coleta de dados crescente e gigantesca.

Mesmo em situações com problemas mais estreitos, como sistemas de pagamento, a identidade permanece à mercê de fraudes e riscos de privacidade não negligenciáveis. Deve-se lembrar que os cibercriminosos não descansam, e vivem ampliando seus horizontes, ou seja, estão sempre prontos para explorar maneiras de driblar a lei.

Multas e bloqueios

Todos os problemas citados são compostos pelo fato de que as multas da lei incluem a suspensão temporária das atividades dos aplicativos. Eles restringiriam as comunicações de milhões de brasileiros que dependem desses provedores para conversar, trabalhar, acessar informações e expressar amplamente suas ideias.

Além disso, os fornecedores de aplicativos sob a ameaça de serem bloqueados aplicarão severamente as regras para proteger suas atividades, restringindo as contas diante da menor dúvida – muitas vezes de maneira automática e pouco esclarecedora.

Embora a lei estabeleça processos de notificação e apelação, as plataformas podem falhar em oferecê-los de maneira significativa, e contas legítimas podem ser silenciadas aos montes.

São cenários que levam ao entendimento de que há ainda muito a ser debatido. Afinal, é necessário combater as fake news e os demais males que a internet traz, mas sem retirar direitos tão essenciais da população.

This post is also available in: Português