Blog

Criptografia, tutela da privacidade e proteção dos dados pessoais: contornos de um debate contemporâneo

Escrito por

14 de maio de 2018

A importância da criptografia e suas repercussões para o Direito e a sociedade é assunto que ganhou projeção no Brasil com as recentes ações de controle de constitucionalidade em curso no Supremo Tribunal Federal – STF. Ambas (ADI 5527 e ADPF 403) tratam do bloqueio de aplicações como o WhatsApp, aplicativo de mensagem instantânea que usa tecnologia de criptografia ponta a ponta para garantir a segurança e o sigilo das comunicações de seus usuários, à luz do da legislação pertinente, como o Marco Civil da Internet (Lei n. 12.965/2014).

Em audiência pública promovida pelo STF nos dias 02 e 05/06/2017, a criptografia e, particularmente, as características técnicas e efeitos da ponta a ponta foram abordados com destaque. As decisões que serão tomadas nestes casos serão capitais para o delineamento do estatuto jurídico da criptografia no Brasil, haja vista que este exercício da jurisdição constitucional da Suprema Corte poderá traçar limites claros para a implementação e emprego de tecnologias criptográficas no ordenamento jurídico brasileiro.

Criptografia ponta a ponta, regulação e proteção de dados pessoais

Em termos gerais, a criptografia consiste na ciência de cifrar o conteúdo de uma mensagem com o objetivo de esconder seu significado. A modalidade de criptografia que é comumente qualificada como criptografia ponta a ponta refere-se, especificamente, às implementações que garantem que somente emissor e destinatário de uma mensagem detenham os meios técnicos capazes de realizar a codificação e decodificação do conteúdo das mensagens que trocam. De certa forma, esta especificação “ponta a ponta” aplicada à criptografia chega a ser redundante, pois repetiria o próprio conceito de criptografia aplicada à comunicação – manter o conteúdo de mensagens a salvo de terceiros, incluindo os intermediários. A qualificação, porém, ressalta o repúdio a qualquer estratagema que busque permitir que outros que não sejam os extremos – ou as “pontas” da comunicação, conheçam seu conteúdo, bem como torna claro que serão exclusivamente os terminais de emissor e destinatário aqueles capazes de aplicar as ferramentas criptográficas.

O debate sobre o estatuto jurídico da criptografia é igualmente intenso em diversos outros países. Recentemente o Roskomnadzor, o regulador russo de telecomunicações, ordenou ao aplicativo de mensagens instantâneas Telegram que fornecesse as suas chaves criptográficas, apoiado por decisão da Suprema Corte do país. Apesar das diferenças existentes entre os sistemas do Telegram e do WhatsApp (v. g., quanto ao protocolo adotado e gestão de chaves criptográficas), ambos se valem de criptografia ponta a ponta, sendo que o segundo segundo o faz por padrão (by default).

O caso teve início com a requisição do Serviço Federal de Segurança russo (o FBS, sucessor da antiga KGB) ao Telegram para compartilhar as suas chaves criptográficas. Chaves criptográficas são, sinteticamente, instrumentos imprescindíveis para decodificar uma informação critpgrafada, garantindo a quem a possua a possibilidade conhecer o conteúdo cifrado. A recusa ao seu fornecimento foi seguida de apelo à Suprema Corte da Rússia pelo provedor de serviço de mensagens instantâneas, a qual julgou improcedente o pedido. Devido ao descumprimento da ordem judicial, no dia 16/04 foi determinado pela agência Roskomnadzor o bloqueio de acesso ao Telegram no território russo.

Entretanto, em sentido diametralmente oposto parecem apontar outras iniciativas regulatórias. Ao se desenhar o marco regulatório das comunicações eletrônicas na União Europeia, por exemplo, uma perspectiva mais adequada à proteção dos direitos e garantias fundamentais conexas ao fluxo informacional parece estar sendo considerada.

Com o propósito de atualizar e adequar a Diretiva 2002/58/CE ao Regulamento Geral sobre Proteção de Dados da União Europeia (RGPDP ou, como é conhecido, o GDPR, que entrará em vigor em 25 de maio), em janeiro de 2017 a Comissão Europeia publicou uma proposta de Regulamento sobre Privacidade e Comunicações Eletrônicas. Na versão apresentada com emendas pelo Parlamento Europeu, propõe-se a inclusão do § 1º-A no art. 17, determinando que os “prestadores de serviços de comunicações eletrónicas devem assegurar uma proteção suficiente contra o acesso ou alterações não autorizados aos dados das comunicações eletrónicas, e que a confidencialidade e a integridade da comunicação transmitida ou armazenada também sejam garantidas através das medidas técnicas mais recentes, como métodos criptográficos, incluindo a encriptação de ponta a ponta dos dados de comunicações eletrónicas.

Aliás, em consonância com essa linha propositiva, o Grupo de Trabalho do Artigo 29, que reúne as autoridades de Proteção de Dados de todos os países europeus, pronunciou-se claramente em defesa do interesse particular de indivíduos e empresas, e do interesse público de entes governamentais no uso de criptografia forte. Afirmou, ainda, que “the mathematical foundation of cryptology does not provide the basis for a secure backdoor, and numerous examples in history have shown that master keys and backdoors cannot be kept secure”.

Pluralidade de aplicações da criptografia

Para fins da realização de amplo e profícuo debate público para a regulação das técnicas criptográficas é imprescindível que no Brasil nos atentemos também para outros modos de utilização de tecnologias criptográficas, entre eles a criptografia para segurança de dispositivos, bem como a criptografia para segurança operacional.

A aplicação de técnicas e softwares criptográficos em dispositivos como smartphones visa assegurar a segurança informacional e a confidencialidade de dados armazenados em dispositivos. O caso FBI v. Apple em 2016 foi dos mais noticiados sobre esse tipo de utilização da criptografia. A agência policial pretendia romper o sistema de segurança do iPhone de um dos suspeitos do ataque terrorista de San Bernardino para fins de obtenção de prova, pretensão à qual a empresa procurou justificar sua virtual impossibilidade de realizar sem que a segurança de todos os demais usuários de telefones da Apple fosse também comprometida.

No Crypto Colloquium, encontro multissetorial de especialistas que ocorreu em Washington em setembro de 2017, foi cogitado um cenário em que houvesse meios técnicos para construir um sistema que pudesse assegurar acesso a conteúdo decifrado (plaintext) a autoridades do governo em específicos contextos. Na hipótese de tal sistema ser juridicamente imposto, os participantes do encontro concordaram com certos pressupostos para as discussões travadas. Sublinhem-se os seguintes: (i) previsão expressa em lei, mas sem a obrigatória adoção de um mecanismo tecnológico específico; (ii) regras claras de tratamento e minimização de dados; (iii) a regulamentação deve ter por objeto apenas criptografia embarcada em dispositivos; e (iv) a implementação do sistema e seu regramento deve ser atada à rede de telefonia móvel.

Mesmo com essa estrita delimitação, concluiu-se, entretanto, que um tal sistema com excepcional regime de acesso a dispositivos garantido a entidades estatais seria eficaz por curto período, substancialmente custoso e muito provavelmente arriscado para a segurança em geral.

Tais conclusões são ratificadas inclusive após a proposta de Ray Ozzie de um sistema de key escrow denominado Clear, divulgada no mês passado em artigo publicado na revista Wired. Segundo seu idealizador, o sistema seria capaz de atender à demanda das autoridades de segurança pública de acesso a dados cifrados, mas sem criar significativos riscos à segurança de bilhões de pessoas que usam dispositivos criptografados. Contudo, a proposta já tem recebido duras críticas não somente da comunidade técnica – a exemplo do que faz os criptógrafos Matthew Geen e Bruce Schneier –, que há décadas discute esse tipo de sistema e corrobora com sua ausência de segurança, como também de gigantes do Vale do Silício.

Já quanto à criptografia para segurança operacional, esta consiste na implementação de medidas de segurança informacional necessárias para resguardar a confidencialidade de dados pessoais tratados em bases de dados. A implementação de tecnologias criptográficas pelos sujeitos responsáveis pelo tratamento de dados pessoais é medida que evita ou reduz riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conforme prevê o artigo 32, 1, a, do Regulamento (UE) 2016/679.

Da mesma forma, o Decreto 8.771/2016, que regulamenta no Brasil o Marco Civil da Internet prevê, em seu art. 13, ao especificar as diretrizes de segurança no tratamento de dados pessoais e comunicações privadas que devam ser observadas por provedores de conexão e de aplicações, que dentre estas estariam “soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes”. Assim, a utilização de criptografia para segurança operacional não somente encontra-se já positivada na legislação brasileira como, aliás, é a única tecnologia a ser especificamente referida na regulamentação do Marco Civil da Internet.

Considerações finais

A presença cada vez mais acentuada do tema da criptografia ponta a ponta nos debates acerca de privacidade e proteção de dados comprova a estreita relação – e interdependência – entre segurança e privacidade. É comum a afirmação de que sem segurança da informação não há privacidade. E é igualmente veraz o sentido inverso: se não houvesse uma demanda real e concreta por privacidade e proteção de dados, não haveria motivo para sequer se cogitasse em implementar medidas de segurança da informação.

No momento em que, no Brasil, estão amadurecendo as discussões sobre uma futura lei de proteção de dados, urge que o ordenamento jurídico esteja como um todo preparado para recepcionar esta nova “cidadania digital”, na qual os cidadãos terão os direitos e garantias necessários sobre seus dados pessoais. Nele, é imperativo que medidas técnicas imprescindíveis para que a tecnologia necessária para a proteção da privacidade em ambientes digitais (e inteligentes), como a criptografia, possam ser utilizados e implementados sem limitações que, em última análise, os inviabilizem e prejudiquem tanto cidadãos, autoridades públicas, como a própria capacidade de inovação do setor de tecnologia nacional.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Escrito por

Ex-membro

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *