Por exemplo, quando um governo ou uma força policial tem a necessidade de acessar comunicações online que são criptografadas, como eles podem fazer para evitar esse controle, e como fazê-lo sem afetar o direito a privacidade de todos os demais usuários desse serviço?
O estudo “Criptografia e Direito: uma perspectiva comparada” foi desenvolvido nos anos de 2017 e 2018 pelo pessoal do CEPI, com objetivo de mapear o debate internacional sobre acesso a dados criptografados por autoridades de investigação e seu impacto an discussão sobre o direito a privacidade. Nessa pesquisa, eles identificaram que alguns países mais "radicais" chegaram a proibir ou regulamentar severamente o uso de criptografia (por exemplo, tentando forçar limites nos algoritmos ou exigir a implementação de "backdoors"), mas certos países estão optando pela regulação de mecanismos alternativos de investigação para conseguir obter o conteúdo de dados criptografados, uma forma de evitar o enfraquecimento de sistemas de criptografia. A mais comum dessas alternativas é a exploração de vulnerabilidades de sistemas por autoridades de investigação, uma técnica conhecida como "government hacking". Além disso, o debate sobre o impacto dessas alternativas à regulação da criptografia tem sido negligenciado, principalmente no que tange aos seus potenciais riscos aos direitos fundamentais.
Como fruto desse extenso e detalhado trabalho acadêmico, foram criados dois "produtos" da pesquisa: a Criptopédia e o CryptoMap, um site e um mapa interativo que compilam de forma prática os resultados encontrados sobre os 40 países estudados.
Os resultados dessa pesquisa foram apresentados em um evento no dia 05 de Dezembro de 2018 ("Criptografia e Direito: uma perspectiva comparada"), que foi filmado e está disponível online.
O resultado desse trabalho é sensacional, tanto pelo mapa interativo quanto pelo mapeamento detalhado que foi feito em 40 países. Mas não é um trabalho fácil de ser mantido (e esse vai ser maior desafio do pessoal), pois todos os dias estão surgindo novos problemas, iniciativas e novas regulamentações. O debate sobre privacidade está acontecendo e é um tema muito quente no mundo inteiro, principalmente neste ano que tivemos a General Data Protection Regulation (GDPR) na Europa. Na sua carona, novas regulamentações e leia surgem a todo momento.
Esse debate é muito importante pois de um lado temos o direito fundamental a privacidade do cidadão (e das empresas), que muitas vezes se contrapõe a necessidade de vigilantismo, de espionagem e de controle governamental. Muitas vezes esse debate é travestido pela discussão sobre necessidade de combater o crime online - e nessa hora, muitas vezes o problema da pedofilia na Internet é usado para sensibilizar a população em prol do controle governamental das comunicações.
No meu ponto de vista, esse debate todo tem 2 problemas principais:
- A necessidade de combater a grande desinformação sobre o assunto (por exemplo, o falso argumento do “não tenho nada a esconder”)
- O assunto é muito técnico, que envolve o entendimento de algoritmos de criptografia que são complexos e com detalhes específicos, e isso atrapalha o debate. Dessa forma, essa discussão dificilmente é entendida pelo público leigo e demanda um grande esforço de apoio e envolvimento por parte da comunidade técnica;
A criptografia é fundamental para garantir o bom uso da Internet, através do sigilo das transações bancárias e comerciais, além de garantir a nossa privacidade online. A criptografia permite evitar a interceptação e vazamento de dados pessoais. Quando os governos optam por restringir o uso de ferramentas criptográficas, automaticamente enfraquecem toda a nossa segurança e privacidade online. Além disso, as mesmas restrições que favorecem a investigação dos governos (por exemplo, o uso de "backdoors"), também favorece a espionagem e o crime organizado, que podem usar essas restrições para ter acesso não autorizado as comunicações.
O "government hacking" talvez seja o menor dos males - melhor do que diminuir o nível de segurança ou implementar backdoors. Ele pode ser autorizado somente em casos pontuais e específicos, através de mandatos, controles e regulamentos específicos. Ele pode também ser implantado como um processo similar ao de uma escuta telefônica legal - só muda a tecnologia e o meio. Do ponto de vista técnico, normalmente ele envolve alterações no dispositivo final, do suspeito. O ponto negativo é que essa técnica, ao interferir no computador ou smartphone do investigado, ele pode prejudicar a qualidade da prova.
No final das contas, esse debate ainda precisa ser amadurecido devido aos diversos aspectos técnicos e impactos nas nossas liberdades fundamentais. E a comunidade técnica tem que, obrigatoriamente, se posicionar.
Para saber mais:
Nenhum comentário:
Postar um comentário