Uma questão adicional sobre os bloqueios de Whatsapp no Brasil

Foto de tela de celular com o ícone do Whatsapp

por


Diego R. Canabarro
Bruno Bioni


Há uma semana,
uma juíza de primeira instância ordenou o bloqueio do Whatsapp em todo o território nacional. Foi a quarta vez que isso aconteceu em pouco mais de um ano e meio. Dessa vez, porém, tivemos a decisão mais extrema: a ordem foi por prazo indeterminada e comandou a empresa a quebrar a criptografia recentemente incorporada ao aplicativo. Apesar de encontrar paralelos em outros países, a suspensão do Whatsapp no Brasil já ganhou contornos de uma endemia persistente no Brasil, com contornos próprios, e que se não enfrentada adequadamente pode “isolar ainda mais a rede brasileira da Internet global” - como pontuou Ronaldo Lemos.

Em todos os quatro casos, as discussões suscitadas pela medida extrema giraram basicamente em torno de sua pertinência quando se levam em conta os direitos fundamentais à comunicação, ao acesso à informação, à liberdade de expressão, bem como o direito à privacidade dos usuários. As decisões que restabeleceram o funcionamento do aplicativo centraram-se basicamente no direito fundamental à comunicação – equacionando, por um lado, os altos custos de se bloquear o aplicativo para a toda a coletividade e, por outro, o baixo benefício que a medida teria como um dos elementos da investigação criminal respectiva. É obviamente salutar a atuação das instâncias superiores. No caso mais recente, o Ministro Lewandowski consignou que o bloqueio geral, irrestrito e sem prazo definido de uma aplicação não encontra guarida no Marco Civil (entendimento diverso do que os juízes de primeira instância têm invocado). No mesmo sentido, já se pronunciou o Comitê Gestor da Internet (CGI.br), o que ganhou eco na nota mais recente produzida pelo assunto pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio): (…) é inconstitucional a utilização do Artigo 12 do Marco Civil para promover o bloqueio de sites, aplicativos e serviços de internet no Brasil. As sanções previstas no Artigo 12 do Marco Civil não podem ser usadas para coibir o descumprimento de ordem judicial.”

Parece que temos avançado.

Seria igualmente desejável que os Tribunais do país tivessem entendimento mais claro sobre as interfaces entre o bloqueio de aplicativos que implementam criptografia nas comunicações dos indivíduos e a degradação da proteção à privacidade dos cidadãos brasileiros. Afinal, precedentes jurisprudenciais têm – entre outras coisas – caráter pedagógico e poderiam auxiliar a educar a população a respeito das falácias por detrás de coisas como “só se preocupa com privacidade quem tem algo a esconder” ou “eu não faço nada de errado, por isso não preciso me preocupar com o monitoramento do Estado”.


Diretamente relacionado a este assunto, há, também, uma questão (o cerne deste post), bem menos comentada e debatida, que enseja a reflexão pública. Ela diz respeito aos limites da ingerência do Estado na condução e definição dos rumos da inovação e, principalmente, às formas de se definir o interesse público por trás de tal ingerência. Desde já, devo dizer que este texto não é uma apologia à não ingerência do Estado na economia; pelo contrário, é uma reflexão a respeito do tipo de ingerência que se pode tolerar num contexto democrático.

A tentativa de o Estado definir os limites e os rumos da inovação ficou bastante evidente na contenda entre Apple e FBI no início deste ano, que guarda inúmeros paralelos com o caso de Duque de Caxias (tratado mais abaixo). Naquele caso, que lida com as investigações que sucederam ao atentado de San Bernardino, o juiz ordenou que a Apple criasse ex post facto um software capaz de ser empregado seletivamente pelas autoridades investigativas para ultrapassar os limites da modalidade de criptografia embarcada no iPhone, desenvolvida pela empresa para proteger os dados pessoais dos usuários. Em síntese, a decisão queria que a Apple desenvolvesse um software comprometido que seria instalado na memória do iPhone (…) como uma atualização (…) que pode ser feita sem a necessidade de aprovação do usuário (…).”

Não é novidade que o FBI tem tentado há bastante tempo forçar as empresas de tecnologia do país a criar e implementar backdoors ainda na etapa da produção de hardware e software. A diferença é uma questão de escala. Os backdoors adotados ex ante tem o condão de afetar toda a produção. No caso dos supostos atiradores de San Bernardino, a intenção foi a de obrigar a empresa a modificar – para favorecer os agentes estatais – determinada política de segurança e sua implementação em forma de código. Tal tecnologia foi apresentada pela empresa como uma resposta à demanda crescente do nível de proteção da privacidade por parte de seus clientes, especialmente depois das revelações Snowden.

O caso Snowden trouxe ao conhecimento do público no mundo inteiro uma enxurrada de coisas desconhecidas sobre o esforço crescente do chamado “complexo industrial militar-informacional” no sentido de desenvolver e utilizar estratégias e ferramentas de monitoramento dos usuários da Internet para fins de combate ao terrorismo e ao crime organizado transnacional (tráfico de armas, drogas, pessoas, etc.) geralmente associado ao primeiro como fonte de financiamento. Esforço esse que, recentemente, transbordou com muita facilidade do âmbito da segurança internacional para o campo da segurança pública e tem se normalizado como a estratégia preferencial de autoridades policiais e administrativas no tratamento de ilícitos penais e civis em diversos países.


A questão Snowden marcou, também, um ponto de inflexão nos níveis de apoio e aceitação de práticas restritivas e medidas excepcionais capazes de flexibilizar direitos e garantias fundamentais associados à privacidade e ao sigilo das comunicações em nome do provimento de segurança, por parte daqueles que as viam sem estranheza. Diante disso,
tem crescido nos últimos anos o interesse e a demanda por ferramentas e tecnologias voltadas à proteção de sua privacidade. É por isso que a Apple adotou um complexo sistema de cifragem dos dados armazenados no iPhone. É pelo mesmo motivo que o Whatsapp ganhou sua própria modalidade de criptografia baseada num par de chaves atribuídas a cada usuário.

A chave pública de um usuário é conhecida por todos os seus contatos (é provável que os servidores do aplicativo mantenham uma biblioteca que as catalogue). As chaves públicas são usadas para cifrar mensagens destinadas a tal usuário. Este têm armazenado em seu dispositivo uma chave privada, a única capaz de decifrar todas mensagens entrantes geradas por outros usuários com a aplicação de sua chave pública. Do par de chaves, por conta do design da ferramenta, a empresa supostamente teria conhecimento tão somente da chave pública. Com isso, a ação do FBI (ao postular o desenvolvimento de atualizações maliciosas) e a ação pretendida pelas autoridades policiais brasileiras ao demandar que o Whatsapp desenvolvesse mecanismos capazes de dar acesso às chaves privadas de seus usuários para a empresa e para terceiros nada mais são do que tentativas de levar (pela via forçosa) que empresas reorientem sua produção para o desenvolvimento de ferramentas específicas, a fim de atender  supostas necessidades da investigação criminal.

Não se quer aqui discutir os limites da lei brasileira ou a persistência de atores estrangeiros em desrespeitar a legislação do país. Isso é assunto para um outro post (especialmente diante do recente bloqueio de bens do Facebook em caso análogo ao ora em comento e da nota técnica do Ministério Público Brasileiro e do Conselho Nacional de Procuradores-Gerais tratando do assunto). Quer-se apenas tratar do fato de que, ao defender tais medidas, os agentes públicos geralmente lançam mão do argumento segundo o qual, sem a colaboração das empresas com os backdoors ou a quebra de criptografia,  seria impossível avançar na investigação criminal.

Em tese, isso pode acontecer inclusive com o curso da investigação de crimes que não tenham nada a ver com a Internet.

O processo investigativo é um conjunto complexo de atos que procuram levantar evidências circunstanciais possíveis de serem alcançadas e que sejam capazes de levar o investigador a reconstruir de forma mais aproximada a chamada “verdade real” dos fatos – algo, em teoria e na prática, dificilmente alcançada em plenitude, por conta das limitações materiais à reconstrução do passado. Por exemplo: determinada tecnologia pode ter sido projetada para não armazenar as comunicações privadas, havendo, também, limitações processuais (e.g., devido processo legal)para que seja autorizada uma interceptação.

Acontece, porém, que, como sistema cibernético que é, a Internet tem sido tratada por muitos (algo que ficou inequívoco com a farta documentação trazida a público por sucessivos whistleblowers ao longo dos anos) como a ferramenta definitiva para que se concretize uma realidade de vigilantismo digna de George Orwell. Ou seja, como um instrumento por meio do qual se poderia reconstruir sempre que necessário a verdade real de toda e qualquer interação ou transação travada por meio dela. É nesse contexto que surgem as pressões pela aposição de “backdoors” no hardware e software empregado por quem usa a Internet, bem como pelo desenvolvimento de tecnologias a posteriori capazes de vulnerabilizá-los. Há, de partida, uma premissa equivocada nisso tudo: a ideia de que o crime organizado e o terrorismo necessariamente a empregam como instrumento de trabalho. Já está mais que documentado o fato de que gente da estirpe de Osama Bin Laden, al-Baghdadi e El Chapo, deliberadamente não usaram a Internet para suas comunicações privadas, justamente por conta dos riscos de monitoramento que a ela são intrínsecos.

De forma um pouco mais refletida, pode-se dizer tais pressões desconsideram que backdoors preventivos (a) jamais serão capazes de circunscrever todas as modalidades de criptografia que estão disponíveis (e em constante desenvolvimento) para os usuários da Internet; e (b) aumentam o nível de vulnerabilidade agregado de um conjunto de usuários bem definidos, pois eles podem ser explorados em atividades de vigilância e monitoramento (e até mesmo sabotagem) por parte de terceiros não autorizados, incluindo os próprios inimigos daqueles em favor de quem o backdoor foi implementado.

Elas minimizam, além disso, a importância que os metadados e têm para a investigação e o processamento de ilícitos: eles são uma ferramenta poderosa capaz de delimitar teias relacionais, definir identidades, localizar pessoas e bens com alto grau de confiabilidade em suporte às ilações e inferências causais que podem ser geradas sobre determinado ato ou fato ilícito. O regime do Marco Civil da Internet é, nesse sentido, absolutamente pertinente em relação a essa questão, pois prevê amplo acesso a metadados e informações cadastrais a eles associadas (com limites cronológicos e funcionais, por certo), e restringe ao máximo possível o acesso ao teor das comunicações privadas, tratando-o como medida de ultima ratio. O que não se pode olvidar é que, ainda que seja vontade da autoridade pública a adoção dessas medidas extremas, pode ser que pelo simples desenho estrutural do aplicativo em questão (como alega-se que é o caso do Whatsapp) seja impossível que se tenha acesso ao inteiro teor (pretérito, presente ou prospectivo) do conteúdo trafegado por seus usuários na Internet. E nem adianta que seja ordenado o bloqueio, a suspensão ou até mesmo a proibição do uso de determinada aplicação como ocorreu novamente no Brasil. Seria o mesmo que ordenar que os cães devam miar e os gatos devam latir. O que resta, então, é a coação direta e indireta exercida sobre os provedores de aplicações para que desenvolvam seus sistemas ou procedam com alterações posteriores nos mesmos de modo a atender as demandas operacionais das autoridades públicas.

Essa ingerência do Estado na atividade empresarial não seria novidade (a não ser em alguns delírios libertários que lemos com cada vez mais frequência na enxurrada de conservadorismo que marca o contexto político atual). Não se pode fabricar e comercializar automóveis sem cinto de segurança no Brasil; devemos, atualmente, trafegar em estradas federais com os faróis acesos; não se pode colocar, no mercado, carteiras de cigarro sem imagens para desestimular o consumo de tabaco definidas pelo Ministério da Saúde; só podem ser comercializadas tomadas de um determinado tipo; etc.

O que é necessário, diante disso, é que a ingerência do Estado, quando exista, seja calcada em razões que reflitam efetivamente o interesse público, e, principalmente, seja definida democraticamente com a plena participação dos usuários afetados por ela. Não se pode permitir que haja dissonância entre o verdadeiro interesse público e o interesse daqueles(as) que ocupam cargos públicos (e que devem agir em nome e em prol do interesse público).

Por um lado, o público está cada vez mais ciente da importância e está interessado em formas de preservação da privacidade como bem fundamental à vida em sociedade.

Por outro, os(as) agentes públicos pretendem a facilitação de seu trabalho de modo a cumprir seu desígnio constitucional de prover segurança. A discussão apressada do assunto e a adoção de soluções jurídico-legislativas imediatistas segundo uma lógica top-down (inclusive pela adoção de medidas extremas como a suspensão irrestrita de aplicações de Internet no Brasil) na equação desses interesses potencialmente conflitantes põem em risco a “dinâmica da Internet como espaço de colaboração” e a “contínua evolução e ampla difusão de novas tecnologias e modelos de uso e acesso”, onerando desequilibradamente os intermediários da Internet e atingindo de forma difusa os seus usuários. E, principalmente, são inadequadas para um país com a grandeza do Brasil no ecossistema global de governança da Internet. A manutenção dessa rota adotada recentemente pelo judiciário brasileiro pode reverter, desafortunadamente, o status alcançado à base de muito trabalho, em pé de igualdade, dos diversos setores envolvidos com a Internet no país.