Atualização: Na terça-feira (30), o Senado Brasileiro aprovou o PLS 2630/2020, o chamado PL das “Fake News.” Uma emenda retirou alguns trechos do art. 7° com o resultado de que a identificação obrigatória não se aplique a todos os usuários e seja, em princípio, opcional em geral. De acordo com o texto adotado, as empresa “poderão” exigir identificação aos usuários quando houver denúncias de não cumprimento da lei das “fake news”, ou quando houver indícios de que são bots não identificados, de que se comportam de forma inautêntica, ou de estão assumindo a identidade de um terceiro. As empresas devem, também, criar algum jeito de detectar fraude na criação de contas. Essas disposições parecem corresponder às práticas atuais da maioria das empresas, mas podem ser expandidas para também incluir novas obrigações estabelecidas no PL das “Fake News.”
Outra emenda restringiu o artigo 8°, sobre a obrigação de suspender contas criadas com números de telefone que não forem mais registrados, para apenas as contas de mensageria “vinculad[a]s exclusivamente a números de celulares” (ainda potencialmente bastante confuso na prática); os serviços de mensageria privada devem verificar com as operadoras de celular quais números tiveram seus contratos rescindidos para também suspender as contas relacionadas no app.
Outra emenda apagou a frase “no âmbito do seu serviço” do artigo 9°, sobre serviços de mensageria privada, que limita o tamanho de grupos e listas privados, possivelmente comprometendo uma defesa de incapacidade técnica pelos desenvolvedores de sistemas descentralizados que não sejam projetados para controlar o tamanho de um grupo.
Outra emenda reduziu o artigo 10, "a regra de rastreabilidade", forçando apenas os aplicativos de mensagens privadas a manter a cadeia de todas as comunicações que foram "encaminhadas em massa" para fins de investigação ou persecução criminal. As versões anteriores do projeto de lei, conforme explicado em nosso post abaixo, também incluíam redes sociais.
Todas as outras partes de disposições discutidas neste post permaneceram intactas.
---
O artigo original foi publicado na segunda-feira de manhã, 29 de Junho de 2020.
O Senado brasileiro marcou para esta semana a votação da versão mais recente do PLS 2630/2020, o chamado "PL das fake news". Essa nova versão, supostamente voltada à segurança e a coibir "ações maliciosas coordenadas" por usuários de redes sociais e aplicativos de mensagens privadas, permitirá que o governo, para pegar alguns atores maliciosos, identifique e rastreie inúmeros usuários inocentes que não cometeram qualquer irregularidade.
O PL cria um regime regulatório inadequado para intervir nas decisões políticas e de tecnologia de redes sociais ou serviços de mensagens privadis no Brasil, exigindo que eles instituam novos procedimentos de remoção, imponham vários tipos de identificação de todos os seus usuários e aumentem significativamente a quantidade de informações que coletam e armazenam de e sobre seus usuários. Eles também precisam garantir que todas essas informações possam ser acessadas diretamente no Brasil, para que sejam disponibilizadas direta e imediatamente ao governo - driblando as fortes salvaguardas aos direitos dos usuários previstas nos mecanismos internacionais existentes, como os Tratados de Assistência Jurídica Mútua.
Esse PL amplo está se movendo rapidamente e chega em um momento muito ruim. Atualmente, tecnologias de comunicação segura são mais importantes do que nunca para lidar com a pandemia do COVID-19, para colaborar e trabalhar com segurança e para protestar ou se organizar online. Também é realmente importante que as pessoas possam ter conversas privadas, incluindo conversas políticas privadas.
Há muitas coisas erradas nesse PL, muito mais do que poderíamos tratar em um artigo. Por ora, abordaremos cinco falhas graves no projeto existente que prejudicariam a privacidade, a liberdade de expressão e a segurança.
Falha 1: forçar provedores de redes sociais e de mensagens a coletar a identificação legal de todos os usuários
A nova proposta do artigo 7 é inadequada e contraditória. Primeiro, o PL (artigo 7, parágrafo 3) exige que "grandes" provedores de redes sociais e de mensagens privadas (que oferecem serviço no Brasil a mais de dois milhões de usuários) identifiquem cada usuário de uma conta solicitando seus documentos nacionais de identidade. É uma exigência retroativa e generalizada, o que significa que a identificação deve ser solicitada para todo e qualquer usuário existente. A disposição principal (caput) do Artigo 7 não se limita à identificação de um usuário por força de ordem judicial, incluindo também a identificação quando houver uma denúncia sobre a atividade de uma conta ou quando a empresa estiver em dúvida quanto à identidade de um usuário. Embora os usuários tenham permissão explícita para usar pseudônimos, eles não podem manter suas identidades legais em sigilo junto ao provedor de serviços. Exigir que as empresas identifiquem um usuário online apenas deveria ocorrer em resposta a uma solicitação de uma autoridade competente, e não a priori. Na Índia, espera-se a divulgação de uma proposta semelhante pelo Ministério de TI do país, embora apurações indiquem que a verificação de identidade seria opcional.
Em 2003, o Brasil tornou obrigatório o registro do cartão SIM para telefones celulares pré-pagos, exigindo que os assinantes pré-pagos apresentassem uma prova de identidade, como carteira de identidade nacional oficial, carteira de motorista ou número de contribuinte. O artigo 39 do novo projeto amplia essa lei ao criar novos requisitos de identificação obrigatórios para a obtenção de cartões SIM de telefone, e o artigo 8 exige explicitamente de aplicativos de mensagens privadas que identificam seus usuários por meio de um número de telefone associado, que eles excluam as contas sempre que o número de telefone subjacente for desabilitado. As operadoras de telefonia são necessárias para ajudar nesse processo, fornecendo uma lista de números que não são mais usados pelo assinante original. O registro do cartão SIM prejudica a capacidade das pessoas de se comunicar anonimamente, organizar e associar-se a outras pessoas, além de infringir seus direitos à privacidade e liberdade de expressão. David Kaye, Relator Especial das Nações Unidas para a Liberdade de Expressão e Opinião, pediu aos Estados que se abstenham de tornar a identificação de usuários uma condição para o acesso a comunicações digitais e serviços on-line e que exijam o registro do cartão SIM para usuários móveis.
Mesmo que elimine o artigo 7, o projeto continua perigoso para a liberdade de expressão, porque as autoridades ainda poderão identificar usuários de serviços de mensagens particulares vinculando um número de telefone celular a uma conta.
Os usuários da Internet serão obrigados a entregar informações de identificação para grandes empresas de tecnologia se o Artigo 7 for aprovado como está escrito atualmente, com ou sem o parágrafo 3. A previsão de identificação obrigatória é uma violação flagrante dos direitos dos indivíduos ao devido processo legal. Países como China e Coréia do Sul determinaram que os usuários registrassem seus nomes reais e números de identificação junto aos provedores de serviços on-line. A Coréia do Sul exigia que sites com mais de 100.000 visitantes por dia autenticassem a identidade de seus visitantes, inserindo seus números de identificação de residentes ao visitarem portais ou outros sites. Mas a Suprema Corte da Coréia do Sul revogou a lei como inconstitucional, afirmando que "o sistema de [identificação obrigatória] não parece ter sido benéfico para o público. Apesar da aplicação do sistema, não diminuiu o número de postagens ilegais ou maliciosas online. "
Falha 2: forçar provedores de redes sociais e de mensagens a reter imensos registros de comunicações do usuário
O Artigo 10 obriga provedores de redes sociais e de mensagens privadas a reter a cadeia de todas as comunicações que foram "encaminhadas em massa", para fins de potencial investigação ou processo criminal. O novo projeto exige três meses de armazenamento de dados de toda a cadeia de comunicação para essas mensagens, incluindo data e hora do encaminhamento, e o número total de usuários que recebem a mensagem. Essas obrigações estão condicionadas a limites de viralidade e se aplicam quando uma instância de uma mensagem foi encaminhada a grupos ou listas por mais de 5 usuários em 15 dias, em que o conteúdo de uma mensagem tenha atingido 1.000 ou mais usuários. Aparentemente, também é esperado que o provedor de serviços retenha esses dados temporariamente para todas as mensagens encaminhadas durante o período de 15 dias, a fim de determinar se o limite de viralidade para o "encaminhamento massivo" será ou não atendido.
Este dispositivo viola flagrantemente os direitos do devido processo legal, obrigando os provedores a manter a comunicação de todos antes que qualquer um tenha cometido qualquer ofensa definida legalmente.
Também houve mudanças significativas na maneira como esse texto interage com a criptografia e com os esforços dos provedores de comunicações para saber menos sobre o que seus usuários estão fazendo. Essas exigências de retenção obrigatória podem criar um incentivo para enfraquecer a criptografia de ponta a ponta, porque os serviços criptografados de ponta a ponta podem não estar em conformidade com as disposições que exigem que eles reconheçam quando uma determinada mensagem foi encaminhada independentemente por um certo número de vezes sem comprometer a segurança de sua criptografia.
Embora o PL atual (diferentemente das versões anteriores) não crie novos crimes, ele exige que os provedores rastreiem mensagens antes que qualquer crime seja cometido, para que as informações possam ser usadas no futuro no contexto de uma investigação criminal ou processo por crimes específicos definidos nos artigos 138 a 140 ou no artigo 147 do Código Penal do Brasil, como difamação, calúnia e ameaça. Isso significa, por exemplo, que se você compartilhar uma mensagem que denuncie a corrupção de uma autoridade local e ela seja encaminhada mais de 1.000 vezes, poderão acusá-lo criminalmente de calúnia contra sua autoridade local.
As empresas devem limitar a retenção de dados pessoais ao razoavelmente necessário, proporcional a determinados fins comerciais legítimos. Isso é “minimização de dados”, ou seja, o princípio de que qualquer empresa deve minimizar o tratamento de dados do consumidor. A minimização é uma ferramenta importante na caixa de ferramentas de proteção de dados. Esse projeto vai contra isso, favorecendo práticas perigosas de coleta de big data.
Falha 3: impedir que provedores de mensagens permitam grupos de transmissão, mesmo que os usuários se inscrevam
Os artigos 9 e 11 exigem que os grupos de transmissão e discussão nas ferramentas de mensagens privadas tenham um limite máximo de membros (algo que o WhatsApp faz hoje, mas que nem todas as ferramentas de comunicação necessariamente fazem ou farão), e que a capacidade de atingir o público em massa por meio de plataformas de mensagens privadas devem ser estritamente limitadas e controladas, mesmo quando o público autorize receber esse tipo de comunicação. A visão do projeto parece ser a de que a discussão e a transmissão em massa são inerentemente perigosas e só devem acontecer em público, e que ninguém deveria criar fóruns ou meios para essas interações acontecerem de maneira verdadeiramente privada, mesmo com o consentimento claro e explícito dos participantes ou destinatários.
Suponha que uma organização como uma ONG, um sindicato ou um partido político quisesse ter um fórum de discussão entre seus membros ou enviar seu boletim a todos os membros que optaram por recebê-lo. Não seria permitido que isso pudesse ser feito por uma ferramenta como o WhatsApp -- pelo menos desde que um limite (não especificado) de pessoas fosse atingido. Conforme artigos 9 e 11, a organização teria que usar outra plataforma (não um serviço de mensagem privado), e com isso o conteúdo teria que estar visível e sujeito ao controle do seu operador.
Falha 4: forçar provedores de redes sociais e de mensagens a disponibilizar remotamente os registros privados de usuários
O Artigo 37 obriga grandes provedores de redes sociais e aplicações de mensagens privadas a nomear representantes legais no Brasil. Também obriga essas empresas a fornecer acesso remoto a seus bancos de dados e registros de usuários para seus funcionários no Brasil, para que estes possam ser diretamente forçados a entregá-los.
Isso enfraquece a segurança e a privacidade do usuário. Aumenta o número de funcionários (e dispositivos) que podem acessar dados confidenciais e reduz a capacidade da empresa de controlar vulnerabilidades e acesso não autorizado, principalmente porque é em escala global e, caso seja adotado no Brasil, pode ser replicado por outros países. Cada nova pessoa e cada novo dispositivo adiciona um novo risco de segurança.
Falha 5: ausência de limitações à aplicação desta lei a usuários fora do Brasil
Os parágrafos 1 e 2 do artigo 1 estabelecem algumas exclusões de jurisdição, mas todas são aplicadas no nível da empresa - ou seja, uma empresa estrangeira pode ser isenta das obrigações se for pequena (menos de 2.000.000 de usuários) ou não oferecer serviços ao Brasil. Nenhuma dessas limitações, no entanto, está relacionada à nacionalidade ou localização dos usuários. Assim, a lei, em seus termos, exige que a empresa crie certas políticas e procedimentos sobre remoção de conteúdo, identificação obrigatória de usuários e outros tópicos, que não são de forma alguma limitados a pessoas baseadas no Brasil. Mesmo que a intenção seja apenas forçar a coleta de documentos de identificação de usuários residentes no Brasil, a lei não diz isso.
Buscar soluções para as “fake news” sem comprometer os direitos humanos
Há muitas respostas inovadoras sendo desenvolvidas para ajudar a coibir os abusos de aplicações de mensagens e redes sociais, por meio de respostas de novas políticas ou soluções técnicas. O WhatsApp, por exemplo, já limita o número de destinatários de uma única mensagem encaminhada por vez e mostra aos usuários que as mensagens foram encaminhadas; as mensagens virais são rotuladas com setas duplas para indicar que não se originaram de um contato próximo. No entanto, medidas para combater atores maliciosos não podem custar o silenciamento de milhões de outros usuários, a invasão de sua privacidade ou a sua segurança. Para garantir a preservação dos direitos humanos, os legisladores brasileiros devem rejeitar a versão atual deste projeto. No futuro, direitos humanos como privacidade, expressão e segurança devem ser incorporados à lei desde o início.