Blog

CLOUD Act: um caso de Direitos Humanos e Jurisdição

23 de abril de 2018

O contexto da discussão

O modelo westfaliano de Estado-nação baseado na soberania territorial tem sofrido alterações com a expansão e o uso da internet, que é fundamentada na descentralização, na abertura, na colaboração e nos movimentos transfronteiriços entre países. Com duas lógicas muito distintas, as relações entre os Estados e a internet têm sofrido constantes alterações, acarretando diversas discussões em tribunais de todo o mundo sobre quais os critérios de lei aplicável e como conciliar a natureza descentralizada da internet com a característica rígida e institucionalizada dos Estados.

A rede Internet & Jurisdiction, que tem discutido esse tema de forma multissetorial, aponta dois desafios entre os sistemas jurídicos dos países que ganham relevância com a natureza transfronteiriça da internet e seus litígios:

  1. Como preservar a natureza global da internet enquanto se respeitam os sistemas jurídicos nacionais?
  2. Como combater os usos indevidos e abusos cometidos na internet enquanto se garante a proteção dos direitos humanos?

Ao mesmo tempo em que os mecanismos de investigação, responsabilização criminal e aplicação da lei necessitam ser respeitados, é essencial que esses mecanismos sejam executados sob a observância de direitos fundamentais dos usuários, como a privacidade, a proteção de dados pessoais e os direitos humanos.

Recentemente, os Estados Unidos têm sido um dos principais responsáveis por levantar o debate sobre cooperação jurídica internacional e dados sediados no estrangeiro, principalmente devido ao caso Estados Unidos/Microsoft, também conhecido  como Microsoft Irlanda”. O litígio teve início em 2013, quando um juiz americano concedeu um mandado (warrant) autorizando que forças de investigação obtivessem os conteúdos de emails e dados de um usuário de serviços da Microsoft suspeito de tráfico de drogas. Contudo, a empresa entregou apenas os metadados, alegando que apenas eles estariam armazenados em território americano, e que não poderia fornecer as informações contidas nos e-mails, pois elas estavam em um data center na Irlanda, afirmando, assim, que as normas e decisões americanas não poderiam ter aplicação no território irlandês. Depois de diversos argumentos, recursos e apelações, o caso foi aceito pela Suprema Corte Americana, levantando pontos que apontam que os atuais mecanismos de cooperação jurídica internacional estabelecidos em MLATs (Mutual legal assistance treaty ou acordos de cooperação jurídica) como lentos, burocráticos e não são eficientes no atual contexto de relações transfronteiriças na internet, apontando ainda que muitas empresas têm o hábito de alterar a localização dos seus dados, impossibilitando inclusive saber para qual país é necessário solicitar o acordo de cooperação. Toda essa discussão levou o chefe do executivo dos Estados Unidos (Presidente Donald Trump) movimentar um projeto de lei chamado CLOUD Act, que busca alterar as regras de transferência internacional de dados entre as empresas sediadas no estrangeiro, facilitando investigações policiais e fazendo com que as empresas agora tenham obrigação legal de fornecer dados de investigados, mesmo que estes não estejam sediados nos Estados Unidos.  

CLOUD Act e seu trâmite

Ao atualizar o legislação pertinente ao uso de dados (Storage Comunication Act), em suma, o CLOUD Act:

é um projeto de lei recentemente introduzido para estabelecer novos padrões para quando os governos querem obter informações armazenadas fora de sua jurisdição.
Neema Singh Guliani, The Hill

Quatro motivos constroem as bases da proposição da lei em pauta: a anacronia dos mecanismos de cooperação jurídica internacional, concebidos no séc XIX, aliado à morosidade do MLATs (cuja previsão de resposta de um pedido rotineiro era de 15 a 18 meses), caráter litigioso dos pedidos de cooperação e as constantes reclamações das grandes empresas de tecnologia sobre a contradição entre os regimes legais ao redor do globo deram ensejo ao Clarifying Lawful Overseas Use of Data Act (H.R.4943, S. 2383), ou apenas CLOUD Act. Introduzido em Fevereiro, pelo Senado em coalizão bipartidária, e consequente aprovado no dia 22 de março de 2018, pelo Congresso americano.

O processo legislativo da lei foi duramente criticado, inclusive como uma tentativa dos obscuros legisladores de roubar um pedaço de legislatura e aprovar um projeto de lei Frankenstein, conforme apontado no Medium. Tais acusações são baseadas no fato do CLOUD Act ter sido incluído em um projeto de lei de gastos de 1,3 trilhão de dólares apenas um dia antes da votação do referido PL. No Twitter, diversos agentes políticos se pronunciaram a respeito da lei, merecendo dois destaques: o Presidente Donald Trump, que primeiramente publicou na rede social sua intenção de vetar o PL – contudo, em segundo tuíte, comentou que iria sancionar a lei – e o Senador  Rand Paul, que afirmou a estratégia do Congresso de vincular o CLOUD Act ao PL de gastos, impondo a aprovação do ato.

Para além dos agentes governamentais, dois polos compõem a mesa do jogo legislativo neste assunto: grandes empresas de tecnologia de um lado, e organizações de defesa de direitos humanos e privacidade dos usuários de outro. O primeiro bloco é liderado pela Apple, Google, Microsoft e Oath, que se manifestaram em conjunto a favor da lei. A representação dos ensejos ativistas é verificada, também, na declaração conjunta de organizações de impacto mundial como Electronic Frontier Foundation (EFF), American Civil Liberties Union (UCLA), OpenMedia, Amnesty International USA etc, afirmando que a lei permite a concessão de informações sem atender a padrões constitucionais e facilita que governos estrangeiros usem informações para cometer abusos dos direitos humanos

A repercussão na União Europeia

As discussões sobre alterações dos mecanismos de cooperação jurídica internacional após a intensa inserção da internet nas relações entre os Estados não são novidade. A Europa já discute há algum tempo, por meio de uma comissão multissetorial, maneiras de facilitar o acesso a provas eletrônicas para as autoridades responsáveis ​​pelas investigações. O plano da Comissão Europeia é propor novas regras sobre o compartilhamento de provas e a possibilidade das autoridades solicitarem provas digitais diretamente as empresas de tecnologia. Essa mudança iniciou-se em 2016 com a Comissão buscando criar medidas concretas com base em uma abordagem comum da União Europeia para tornar mais efetiva a cooperação com os prestadores de serviços, melhorar a assistência mútua e propor soluções para os problemas da jurisdição na internet. Tal debate não ganhou muito espaço à época e a Comissão não apresentou sua proposta final, entretanto, após a aprovação do CLOUD Act a polêmica ganha destaque mais uma vez. O site Euractiv publicou um material “vazado” onde apontava que no dia 17 de Abril a União Europeia iria apresentar um documento relacionado à transferência internacional de dados, facilitando a transferência de dados entre Empresas-Estados e alterando os atuais mecanismos de cooperação jurídica (MLATs). Segundo o site Euractiv, o regulamento criará sistemas legais para autoridades de estados membros da União Europeia exigirem que as empresas compartilhem dados dentro de 10 dias ou seis horas se houver “ameaça iminente à vida ou integridade física de uma pessoa ou a uma infra-estrutura crítica”.   Associações da sociedade civil que lutam pela privacidade criticaram o plano da Comissão de forçar as empresas a fornecer dados rapidamente, alegando que se corre o risco de acontecerem decisões arbitrárias que ferem a privacidade e os direitos humanos.

Věra Jourová, integrante da comissão europeia havia sinalizado em 2017 que a Europa e os EUA estariam discutindo maneiras de melhorar a transmissão de dados internacionais entre o país e o bloco. No entanto, após a aprovação do CLOUD Act, esses planos são incertos. De acordo com especialistas, a nova lei de proteção de dados da UE (General Data Protect Regulation), que deve entrar em vigor em maio, fica impedido que as empresas sejam forçadas a fornecer dados às autoridades americanas, a menos que os países membros da UE concordem com acordos bilaterais com os EUA, ou seja, cada país deverá fechar um acordo de transmissão de dados com os EUA, impossibilitando que todo o bloco tivesse um acordo geral já que a GDPR impediria essa transmissão forçada de dados generalizada. Resta esperar para sabermos como virá a medida Europeia e como se dará a relação entre o CLOUD Act e a GDPR na prática.

Mudanças

“O CLOUD Act promove dois ajustes críticos: Primeiro, permite agências americanas a acessarem dados de companhias americanas mesmo que armazenados fora dos EUA, através de emenda à lei federal […]. Segundo, permite que o governo dos EUA faça acordos de reciprocidade na concessão de dados digitais com outros países que compartilham de parecidos sistemas legais, com as mesmas proteções a direitos civis e liberdades”
Washington Post

Uma das principais mudanças do CLOUD Act é o aumento do escopo geográfico do SCA. Apesar de não alterar quem está sujeito a pedidos de SCA, ou que tipo de dados estão sujeitos a solicitações, expande a obrigação dos provedores de serviço de comunicação eletrônica ou serviço de computação remota americanos de cumprir uma ordem judicial dos EUA e de conceder dados mesmo que armazenados no exterior.

Antes do dispositivo em questão ser aprovado, o MLAT era o mecanismo de cooperação internacional usado. Esses tratados eram negociados pelo Poder Executivo, mas aprovados pelo Senado, garantindo que o Congresso desempenhe seu papel constitucional de fornecer conselhos e consentimento sobre os tratados.

O The Hill tece críticas a este ponto na medida em que retira poder do Congresso e Judiciário e transfere “autoridade praticamente descontrolada” às Sessões e Secretário do Estado (atualmente cargo ocupado por Mike Pompeo) para celebrar acordos. Outra crítica é em relação à pouca especificidade com que são tratados os requisitos para que um país firme acordo de cooperação com os EUA.

Conclusão

Considerando que a aprovação do CLOUD Act é recente, apenas as relações de cooperação jurídica internacional podem concluir se a lei de fato irá preencher as lacunas levantadas pela rede Internet and Jurisdiction, preservar a natureza global da internet e promover o respeito aos sistemas jurídicos nacionais. É inegável a abertura que o texto normativo dá para cometimento de usos indevidos a partir da obtenção de dados digitais, sendo as violações a direitos humanos e privacidade a principal preocupação. Visto que a lei já fora aprovada – mesmo nenhuma consulta popular – resta às organizações opositoras a observação e fiscalização dos procedimentos e conteúdos entregues aos governos via CLOUD Act.

O estudo sobre Internet e Jurisdição é pilar das pesquisas do IRIS. Se você tem interesse neste assunto, confira alguns materiais que produzimos, como o bytes de informação e paper sobre Internet e Jurisdição.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *