Acesso policial a celulares no Brasil e a banalização da “criptoanálise de mangueira de borracha”

O acesso de autoridades policiais ao conteúdo de celulares durante flagrantes esteve na pauta do plenário do Supremo Tribunal Federal em agosto deste ano, porém seu julgamento foi adiado. Embora essa questão tenha impactos centrais para os mais diversos debates sobre vigilância, privacidade, proteção de dados pessoais e não-discriminação, o tema é relativamente pouco discutido em mobilizações contra quebras de criptografia na sociedade civil. O post de hoje sugere que esse acesso deve ser concebido pelos ativistas da privacidade e pesquisadores da criptografia como o principal mecanismo de violação da criptografia empregado no país atualmente e, consequentemente, deve receber uma parcela maior das nossas reflexões e esforços de mobilização.

“Criptoanálise de mangueira de borracha” – outro nome para violência policial

“Criptoanálise de mangueira de borracha” é uma expressão conhecida entre estudiosos da criptografia e ativistas da privacidade. Criado nos anos 1990, o termo diz respeito à extorsão, por meio de coerção ou violência física, das informações sigilosas necessárias para acessar conteúdos protegidos por criptografia. Nessa metáfora, uma alternativa à quebra computacional da segurança do dispositivo seria agredir a pessoa detentora da senha até que ela a revele.

Essa expressão adquiriu certa popularidade em 2008, quando foi noticiado que a polícia turca teria se utilizado de tortura para forçar o ucraniano Maksym Yastremskiy a revelar a senha de desbloqueio de seu disco rígido. As autoridades teriam recorrido à brutalidade física após falharem em acessar as informações do dispositivo em razão de seu conteúdo estar criptografado.

Quando falamos sobre quebra de criptografia e acesso indevido a dados em dispositivos pessoais, é comum que nos concentremos nos riscos representados por governos que exigem de empresas de tecnologia que insiram portas clandestinas em seus sistemas para facilitar investigações. Quando aplicativos de mensageria são bloqueados ou projetos de lei que restringem o uso da criptografia são propostos, ativistas da privacidade frequentemente alardeiam os riscos para a liberdade de expressão e para a privacidade. Nesses debates, é comum a preocupação com o risco que esse tipo de vulnerabilidade gerará para todos os usuários ao facilitar abusos de poder e invasões a dispositivos.

Embora todo esse debate seja legítimo e fundamental, é frequente que outra dimensão fundamental dessa discussão não seja examinada com o mesmo rigor e preocupação: a habitualidade da “criptoanálise com mangueira de borracha” realizada por agentes públicos no país contra grupos periféricos, em especial pessoas negras. Em termos mais diretos, pode-se dizer que o principal método de quebra de criptografia praticado no Brasil é o desbloqueio do celular pelo usuário diante do risco de violência policial durante abordagens envolvendo revistas pessoais invasivas – os famosos “enquadros” ou “baculejos”.

Em nossa realidade nacional, é rotineiro que autoridades imponham revistas e apreensões de celulares arbitrárias, violentas e direcionadas a minorias raciais, por vezes obrigando as pessoas revistadas ao desbloqueio de seus dispositivos independentemente de qualquer parâmetro legal. Assim, para entender melhor alguns aspectos da discussão no Brasil, esse post tenta considerar duas dimensões: a discussão judicial atual e a realidade concreta das abordagens policiais no país.

O acesso policial a conteúdos de celulares nas altas cortes

A legalidade do acesso policial a dados em celulares sem autorização judicial vem sendo questionada há algum tempo na alta cúpula do poder judiciário. Em 2016, o Superior Tribunal de Justiça considerou ilegal o exame das conversas de WhatsApp de uma pessoa cujo celular foi apreendido em flagrante se realizado sem ordem judicial. Mais recentemente, o STJ também entendeu, com base no direito constitucional à não incriminação, que ninguém pode ser punido por deixar de informar a senha de celular a autoridades, ainda que haja uma ordem judicial de entrega de senha.

Atualmente, a questão é o Tema de Repercussão Geral nº 977 no Supremo Tribunal Federal, que constava na pauta de agosto de 2022, porém cujo julgamento foi adiado. O relator do caso, Ministro Dias Toffoli, entende que esse acesso seria legal e não violaria a privacidade, a intimidade ou o sigilo das comunicações do indivíduo. Divergem dele os Ministros Edson Fachin e Gilmar Mendes.

Uma dimensão fundamental a ser reconhecida nesse debate diz respeito às relações que temos com nossos celulares atuais: não estamos mais em 2003, quando a posse de um desses aparelhos no Brasil era relativamente rara e seus usos principais eram ligações e mensagens de texto. Hoje, sua utilização é amplamente massificada e impacta praticamente todas as nossas atividades: transportes, pagamentos, encontros, entretenimento, busca de informação, trabalho, estudo, saúde, entre outros.

O entendimento de que não existe paralelo entre os smartphones contemporâneos e quaisquer outros objetos no que diz respeito à sua importância para o conhecimento de nossos pensamentos, relações e comunicações foi, inclusive, firmado pela Suprema Corte dos Estados Unidos em 2014. No histórico caso Riley v. California (2014), o tribunal considerou inconstitucional o acesso policial a dados contidos em celulares durante a realização de prisões.

Embora haja, portanto, movimentações nacionais e internacionais no sentido de um possível reconhecimento judicial gradativo da severidade que uma medida como o acesso ao celular de alguém representa, o quadro legal referente a esse tema é bastante precário: o país ainda não conta com uma lei de proteção de dados aplicável às atividades de segurança pública e de persecução penal e nosso Código de Processo Penal data da década de 1940. Para piorar, as principais iniciativas legislativas atuais tanto no primeiro tópico quanto no segundo representam graves riscos de retrocessos ao direito à proteção de dados em nome de uma suposta desburocratização do sistema penal.

Entre o Judiciário e a realidade

O caráter violento e discriminatório do sistema penal brasileiro é público e notório. Como evidenciam dados do Anuário Brasileiro de Segurança Pública de 2022, pessoas negras seguem desproporcionalmente mais atingidas pelo encarceramento massivo e pela letalidade policial. O documento também reforça, a partir de estudos quantitativos e qualitativos, uma realidade que é de conhecimento comum nas periferias: a de que a “fundada suspeita” que ampara a maior parte das abordagens policiais é baseada em critérios raciais e sociais.

Dado o padrão agressivo e arbitrário dessas abordagens e a desigualdade de forças entre as partes envolvidas, é completamente irrealista discutir se houve consentimento quando uma pessoa negra é solicitada a desbloquear seu aparelho por um policial ou se essa autoridade respeitará limites legalmente previstos de proporcionalidade, necessidade e afins, principalmente quando frente a grupos socialmente vulneráveis. Como ironiza o humorista Luther Rocha (@puro.roxo), qualquer resistência ao desbloqueio num momento como esse muito provavelmente seria respondida por violência policial, independentemente da legalidade do acesso ao conteúdo do aparelho.

Apesar disso, um estudo realizado pelo InternetLab em 2019 sugere que a impossibilidade do consentimento efetivo sequer é consensualmente reconhecida pelos tribunais. Ao analisar 37 decisões colegiadas em segunda instância entre 2016 e 2017 em que o acesso policial ao conteúdo dos celulares ocorreu após flagrante, 73% das decisões consideraram as provas lícitas. Para piorar, em outros 12 casos em que sequer havia flagrante delito, 50% das decisões foram pela legalidade do acesso. Em 85% dos casos, o flagrante delito e a suposta autorização da pessoa acusada foram as principais bases para legitimar a ação policial.

Nos 8 casos em que houve qualquer discussão sobre consentimento, ele foi inferido pelos juízes a partir da ausência de oposição da pessoa acusada ou do fornecimento da senha por parte dela. Em quase nenhum caso se questionou sobre a “atitude suspeita” que teria embasado a abordagem. 

Os dados evidenciam a desconexão entre o debate judicial sobre o tema nas instâncias inferiores e a realidade social concreta de autoritarismo e desigualdade que está na base do sistema penal brasileiro desde sua origem colonial. Se no plano das normas legais e decisões judiciais, grande parte dos tribunais imagina que alguém pode consentir de forma efetiva com o desbloqueio de seu celular quando um policial assim o demanda – mesmo havendo um precedente contrário nitidamente estabelecido pelo STJ nesse sentido -, é difícil esperar que avanços mais substanciais venham do Poder Judiciário.

Muito além das normas e decisões

Se por um lado o cenário apresentado reforça a importância dos enfrentamentos institucionais para impedir ainda mais retrocessos formais – a exemplo dos que ameaçam se concretizar na reforma do Código de Processo Penal e no debate sobre a LGPD penal -, ele também evidencia a insuficiência desses debates no contexto de uma estrutura social marcada por violência e desigualdade. Nesse sentido, a sociedade civil tem um papel importante em pautar o debate para além de sua dimensão jurídica e considerar como as práticas sociais concretas moldam nossas experiências.

No campo do debate sobre criptografia, isso reforça a necessidade de ir além dos debates já bastante consolidados entre especialistas sobre sistemas de custódia de chave e afins e considerar a dimensão do problema representado por uma situação social em que o emprego da “criptoanálise da mangueira de borracha” é banalizado, inclusive pelo próprio judiciário. É preciso considerar como reformas na arquitetura das instituições policiais podem se aliar a soluções técnicas que ofereçam maior proteção a todos os usuários por padrão – a exemplo das mensagens temporárias, uma intervenção simples e eficaz -, a fim de favorecer a privacidade de forma efetiva.

Se você se interessou pelo tema do acesso de autoridades a conteúdos de dispositivos, confira o post sobre hacking governamental e a indústria da insegurança digital baseada nele.