Guillem Alsina Gonzàlez
Que eu saiba, nenhum país da UE tem atualmente uma lei que obrigue as empresas de software a introduzir backdoors nos seus algoritmos de encriptação para facilitar o acesso das autoridades policiais às comunicações. E alguns dos diferentes governos dos Estados-Membros têm, de uma forma ou de outra, tornado explícito o seu apoio a uma encriptação forte como pilar da segurança digital e da proteção dos direitos fundamentais. Até a própria UE já manifestou anteriormente – especificamente em 2020– o seu apoio a que os cidadãos possam usufruir de serviços de comunicações encriptadas.
O artigo 7.º da Carta dos Direitos Fundamentais da União Europeia também garante o direito à privacidade das comunicações, mas com a exceção de razões de segurança nacional ou de bem-estar económico do país, embora implique que tal deve ser feito ao abrigo de um quadro legal, o que implica a intervenção judicial.
No entanto, algo mudou, talvez em relação à ameaça que grande parte da UE vê na Rússia, ou talvez porque algumas investigações policiais acabaram por ficar bloqueadas pela impossibilidade de obter provas electrónicas encriptadas (estima-se que 85% das investigações judiciais se baseiam em informação digital), pelo que a estratégia ProtectEU, recentemente apresentada (apenas no passado dia 1 de abril), destinada à proteção interna dos Estados-Membros da UE, contempla a possibilidade de facultar às autoridades o acesso a comunicações encriptadas.
Concretamente, o texto refere que “[…] a fim de identificar e avaliar soluções tecnológicas que permitam às autoridades responsáveis pela aplicação da lei aceder legalmente a dados encriptados, salvaguardando a cibersegurança e os direitos fundamentais”.
Note-se que, ao abrigo das actuais disposições legais da UE, os operadores de telecomunicações têm de permitir intervenções legais (como a interceção de chamadas), mas nos serviços de mensagens e nas plataformas digitais com encriptação de ponta a ponta não existe qualquer obrigação legal de a empresa que cria o software ou fornece o serviço fornecer acesso direto às autoridades.
O roteiro ProtectEU para aceder a dados encriptados
Na prática, e com o plano ProtectEU, Bruxelas propôs-se conceber um novo quadro jurídico para o acesso aos dados cifrados, a apresentar até meados deste ano, que poderá permitir às autoridades aceder aos dados cifrados das comunicações durante o resto deste ano ou, mais provavelmente – e com uma solução técnica já em mãos – durante o próximo ano. Por outras palavras, primeiro seria estabelecida a base jurídica e depois trabalhar-se-ia na forma de materializar tecnicamente este acesso excecional à encriptação.
As opções que a UE poderia considerar vão desde obrigar os fornecedores a poderem desencriptar sob ordem judicial (o que implicaria a incorporação de algum tipo de acesso excecional, vulgarmente conhecido como backdoor ) até soluções mais sofisticadas, como a verificação do conteúdo no dispositivo do utilizadorpelo lado do cliente, sem quebrar formalmente a encriptação. De facto, a Comissão indicou aos meios de comunicação social que o seu objetivo é encontrar uma forma legal de acesso “sem corroer a cibersegurança” e a privacidade e impedir o acesso não autorizado, o que parece contraditório em si mesmo.
O roteiro ProtectEU também entrelaça esta iniciativa com outras reformas planeadas: menciona a revisão da Lei da Cibersegurança da UE e, mais significativamente, a atualização das regras de retenção de dados, um tema quente desde que o Tribunal de Justiça da UE derrubou a diretiva de retenção de dados em 2014 por violar a privacidade.
A Comissão está agora a preparar uma avaliação de impacto com vista à reintrodução de um regime de retenção (possivelmente seletivo ou “segmentado” para crimes graves), consciente de que um maior acesso a comunicações encriptadas seria inútil sem registos de dados para analisar.
Em suma, 2025 está a preparar-se para ser o ano em que a UE colocará em cima da mesa reformas jurídicas de grande alcance no domínio da vigilância digital, cujo percurso legislativo se estenderá provavelmente até 2026 e mais além.
O delicado equilíbrio entre segurança e direito à privacidade
O plano da Comissão reaviva a tensão histórica entre as exigências da segurança pública e a proteção dos direitos fundamentais, como a privacidade, a proteção dos dados pessoais e o sigilo das comunicações. As autoridades justificam as medidas excepcionais invocando o aumento de ameaças como o terrorismo (que pode ser comunicado através de canais cifrados), os pedófilos que partilham material ilegal ou o crime organizado coordenado através de salas de conversação seguras.
É provável que, nas próximas semanas e meses, esta medida dê origem a uma amarga controvérsia entre as autoridades e certos grupos políticos europeus, por um lado, e os activistas dos direitos dos cibernautas, por outro, mas há também razões técnicas que podem tornar desaconselhável a introdução de uma porta traseira nos sistemas de cifragem, uma vez que esta poderia acabar por ser explorada por um grupo de cibercriminosos em seu próprio benefício e contra os interesses dos cidadãos e, paradoxalmente, das autoridades. Voltarei a este assunto mais tarde.
Veja-se, por exemplo, a proposta do Governo francês, há alguns meses, de introduzir novas capacidades de vigilância digital para as forças policiais do país, com o argumento da guerra contra a droga, que provocou a intervenção do grupo EDRi (European Digital Rights), com protestos de vários activistas dos direitos digitais.
Ao nível dos direitos fundamentais, qualquer medida que enfraqueça a encriptação levanta questões de compatibilidade com o direito europeu. O Regulamento Geral de Proteção de Dados (RGPD) incentiva a utilização da encriptação para proteger informações pessoais e o direito à privacidade nas comunicações está consagrado tanto na Carta da UE como nas constituições nacionais. Poderá a UE forçar a neutralização do sigilo das comunicações sem violar estes preceitos? Alguns países já estão a dizer que não. A Finlândia, por exemplo, respondeu em debates internos que a quebra da encriptação seria inconstitucional nos termos da sua Lei Fundamental. Em Espanha, o n.º 3 do artigo 18.º da Constituição espanhola garante o sigilo das comunicações, exceto por ordem judicial, o que colidiria frontalmente com qualquer esquema de vigilância indiscriminada.
O desafio jurídico para a Comissão será conceber um acesso atempado, sob controlo judicial e tecnicamente limitado a casos específicos – em teoria, de acordo com o requisito da necessidade e da proporcionalidade -, caso contrário, qualquer regra geral que viole a confidencialidade poderá acabar por ser anulada pelos tribunais europeus.
O sector tecnológico também deve ter uma palavra a dizer
Anteriormente, o WhatsApp ou o Signal mostraram-se muito relutantes em introduzir backdoors nos seus sistemas de encriptação, por exemplo, quando o governo do Reino Unido lhes exigiu que o fizessem ao abrigo da nova lei de segurança em linha do país, ameaçando mesmo retirar-se do país em vez de comprometer a sua encriptação.
A Apple também se recusou a implementar um sistema de digitalização proposto para os seus iPhones em 2021 depois de ter sido fortemente criticada e, mais recentemente, desactivou a sua funcionalidade de cópia encriptada do iCloud no Reino Unido quando as autoridades britânicas a pressionaram secretamente para aceder a esses dados, uma questão que acabou por ser divulgada à imprensa e que provocou um tumulto subsequente.
Uma vez que, na maior parte dos casos, a confiança dos utilizadores é um bem essencial, é provável que as empresas tecnológicas adoptem uma posição semelhante de resistência à UE se este plano for levado por diante sob a forma de uma lei que as obrigue a enfraquecer as suas medidas de segurança. Além disso, as empresas europeias podem recear que os seus clientes (incluindo os clientes empresariais) percam a confiança na segurança dos seus produtos se souberem que estes têm uma porta das traseiras como norma.
As organizações empresariais e os peritos em cibersegurança, como o IEEE, já se manifestaram contra a exigência de backdoors ou outros sistemas de acesso ao conteúdo das comunicações, por considerarem que isso prejudicaria a segurança desde a conceção das soluções digitais.
A cibersegurança das empresas
Olhamos também implicações a nível empresarial e comercial, uma vez que muitas empresas utilizam comunicações encriptadas (VPN, mensagens empresariais, correio eletrónico e encriptação de discos) para proteger segredos comerciais e dados sensíveis. Estas empresas terão de estar atentas ao facto de o novo regulamento poder, de alguma forma, exigir o acesso aos seus dados empresariais encriptados.
Em princípio, as medidas destinam-se aos serviços de comunicação em massa e não à encriptação interna das empresas, embora, se a ideia de que as autoridades devem ter acesso legal aos dados encriptados se generalizar, isso possa levar a um aumento das ordens judiciais que exigem que as empresas desencriptem informações no contexto de investigações (por exemplo, em casos de fraude empresarial, corrupção, etc.), algo que já acontece, mas que poderá tornar-se mais frequente e apoiado pela nova legislação.
Para os compradores de tecnologia e gestores de TI nas empresas, a direção desta iniciativa europeia é da maior relevância. A confidencialidade das comunicações não é apenas uma questão de privacidade pessoal, mas um pilar da segurança empresarial, uma vez que as empresas protegem as suas comunicações internas, os dados dos clientes, as transações e a propriedade intelectual com encriptação.
Um ambiente jurídico que imponha a introdução de backdoors ou o acesso governamental pode enfraquecer a proteção dos segredos comerciais e dos dados sensíveis, aumentando a superfície de ataque dos cibercriminosos. Muitos profissionais de TI receiam que, se forem criados mecanismos de acesso especiais, estes possam ser descobertos ou divulgados, expondo as empresas à espionagem industrial ou a ataques de atores estatais.
Não é por acaso que grandes multinacionais como a Deloitte, o Deutsche Bank e a Salesforce apoiaram publicamente a carta aberta em defesa da cifragem, confiantes de que as suas comunicações permanecem invioláveis. Perder essa certeza poderia “esfriar” a adoção de tecnologias de nuvem ou de ferramentas de colaboração em linha por receio de violações.
Além disso, existem desafios de conformidade; as empresas que operam na UE podem ser obrigadas a rever as suas políticas de cifragem. Por exemplo, um fornecedor de serviços de encriptação sediado na Europa pode ter de implementar novos processos para lidar com pedidos governamentais de dados claros, o que exigirá investimento em infraestruturas seguras para lidar com esses pedidos e protocolos legais internos (semelhantes à forma como existem atualmente equipas de resposta a ordens judiciais para entregar dados, mas com a adição de uma camada de desencriptação).
Será igualmente necessário coordenar a possível contradição entre as obrigações de encriptação dos dados (por razões de segurança e de RGPD) e uma eventual obrigação de desencriptação: como explicar a um cliente que os seus dados são encriptados para proteger a sua privacidade, mas que existe uma chave mestra, mesmo que só seja utilizada pela polícia com um mandado? A comunicação e a transparência para com os clientes serão delicadas para não perder a confiança.
Do lado positivo, um quadro jurídico claro poderia dar mais segurança às empresas que hoje se encontram entre a espada e a parede quando recebem uma ordem judicial que tecnicamente não podem cumprir devido à cifragem.
Poderá também acontecer que os fornecedores de serviços digitais, se forem implementadas obrigações que considerem contrárias à sua promessa de segurança, possam cessar certas funções ou serviços na região, obrigando os gestores de TI a ter planos de emergência para poderem abandonar esses serviços e substituí-los por outros, se necessário.
