Convenção de Cibercrimes da ONU: o que sabemos até o momento?

O debate sobre cibersegurança e cibercrimes é atualmente objeto de atenção no plano internacional. Entraram em reta final as negociações de uma Convenção da ONU, iniciadas em 2019 e marcadas para acabar em 2024. As diferentes visões nacionais, sobre como lidar com a natureza transfronteiriça dos muitos ilícitos que envolvem tecnologias digitais, preocupam especialistas em vigilância, privacidade e segurança internacional.

Na linha tênue entre fortalecer poderes estatais e proteger direitos fundamentais, quais os caminhos possíveis e quais os perigos em jogo nestas negociações? No texto de hoje, apresentamos um panorama da situação e o que se pode esperar, à luz dos recentes movimentos para a criação de uma convenção global sobre cibercrimes.

Cibersegurança e cibercrimes: os debates e as disputas dos campos

No âmbito da Organização das Nações Unidas, o tema é debatido há décadas entre os 193 países, expondo as fortes distinções culturais e judiciais sobre a atuação estatal em termos de criminalização de condutas, justiça criminal, devido processo legal e poder de polícia. O impasse vem de questões geopolíticas entre nações, além das complexas relações entre Estados, empresas, organizações, coletivos e pessoas individuais.

Ainda há várias divergências, desde a necessidade da Convenção, passam pelo objeto dela serem crimes “envolvendo tecnologias digitais de informação e comunicação” ou só “cibernéticos”, e chegam ao escopo e garantias. Mas nos últimos meses, cerca de 140 países e organizações têm discutido a formulação específica desse acordo global, que poderá redirecionar as legislações regionais e nacionais sobre investigações, provas eletrônicas e enfrentamento dessas infrações próprias da sociedade da informação. 

O que queremos expor nesse texto é o antagonismo entre promover segurança, nacional e internacional, e combater o crime sem garantias contra abusos sistemáticos do poder de polícia pelos Estados. As ações de investigação e repressão no plano global podem transbordar para espionagem e vigilância em massa. Sem parâmetros e regras internacionais de respeito aos direitos humanos, boas intenções e discursos podem ensejar atos ilegítimos e violentos, contrários a garantias jurídicas mínimas, e que tendem a afetar em especial os grupos sociais que já são mais vulnerabilizados.

Mas em pleno 2023 ainda não existe uma norma internacional sobre cibercrimes?

Os cibercrimes não são nenhuma novidade, assim como não são novas as preocupações de que normas de enfrentamento sejam mal utilizadas na perseguição de desafetos políticos. O próprio Marco Civil da Internet no Brasil surgiu em reação a um projeto de lei que teria por efeito restringir direitos fundamentais e criminalizar práticas cotidianas de uso da rede, com previsões desproporcionais e desnecessárias. E aqui, assim como vários países, já existem normas legais contra crimes que, de uma forma ou outra, envolvem o uso de TICs.

Internacionalmente, no início de 2023, com o Decreto Nº 11.491, o Brasil concluiu sua adesão à Convenção de Budapeste sobre Crimes Cibernéticos (um processo com graves problemas e uma norma alvo de sérias críticas, já abordadas aqui no blog). Formulada em 2001 pelo Conselho da Europa – CoE (organização internacional de defesa dos direitos humanos, da democracia e do Estado de direito), ela ainda é a única norma ampla sobre o tema entre países. Contém previsões sobre criminalização de condutas; padrões de investigação e produção de provas eletrônicas; e mecanismos de cooperação internacional.

Mas, se já existe uma norma internacional que trata de cibercrimes, qual a necessidade de a Organização das Nações Unidas criarem uma nova Convenção sobre o mesmo tema? A resposta é complexa e está na história dos debates internacionais sobre cibersegurança. Desde 1990, quando editou uma resolução, a ONU tenta avançar na fixação transnacional de regras contra “crimes relacionados a computador”. Mas até hoje a grande disparidade de posicionamentos se mostra inconciliável, impedindo a formação de um consenso global. 

Nem mesmo a onda de grandes movimentos internacionais dos anos 90 foi capaz de vencer essa situação, o que levou a organização europeia a formular sua própria norma, e depois expandir o grupo de países que aderiram à Convenção de Budapeste. Atualmente são 68 nações signatárias, além de outros 23 países e onze organizações internacionais com status de observadores. Estão de fora China, Índia e a Rússia, integrante do CoE mas que lidera os esforços entre os países para a criação de uma norma pela ONU sobre o tema.

Negociações multilaterais na ONU: tudo pode acontecer, inclusive nada!

Diante desses imensos desafios, o que pode acontecer na ONU? Segundo um relatório de 2021, publicado pela Global Initiative Against Transnational Crime (“Iniciativa Global contra o Crime Organizado Trasnacional”), o momento atual marca uma nova fase dos debates, que já foram caracterizados pelo surgimento das atenções (desde 1990), pela inércia multilateral (desde 2001) e pela polarização (desde 2010). Em 2019, a Rússia forçou e, em conjunto com Belarus, Camboja, China, Irã, Mianmar, Nicarágua, Síria, Venezuela e outros, venceu por pouco a votação na Assembleia Geral: 79 votos a favor, 60 contrários e 33 abstenções.

Desde então, em um processo retardado pela pandemia de COVID-19, foi designado um comitê específico para “Elaborar uma Convenção Internacional Abrangente sobre o Combate ao Uso de Tecnologias de Informação e Comunicação para Fins Criminais”. Após duas reuniões de organização, em maio de 2021 e em fevereiro de 2022, o Comitê se reuniu seis vezes entre março de 2022 e agosto de 2023. Uma sessão de conclusão dos trabalhos do Comitê está prevista para 29 de janeiro a 9 de fevereiro de 2024. Espera-se que a Convenção seja proposta à Assembleia Geral da ONU até setembro de 2024.

Segundo o referido relatório, quatro possibilidades se desenham:

1. Controle: uma nova convenção alinhada com a posição Russa, mais restritiva em termos de soberania digital, titularidade de dados e direitos humanos, em retrocesso para garantias como liberdade de expressão, e dificultando adoção e cooperação mais ampla, especialmente no Ocidente, além de impor barreiras para empresas com atuação internacional;
2. Compromisso: uma norma intermediária, que promova acordos sobre jurisdição, programas de capacitação, transparência e cooperação ao padronizar terminologia, e preveja regras mais flexíveis em pontos mais políticos, que ficariam livres para interpretação doméstica, mas sem fortes mecanismos para implementação efetiva;
3. Alternativa: uma renovação da Convenção de Budapeste, com a chancela da ONU ampliando algumas adesões, em direta subversão das intenções da Rússia, sem novos prejuízos para direitos humanos que já lidam com a norma do CoE, mas sem novas garantias e sem a ampliação efetiva da cooperação entre regiões;
4. Nada: é possível que as negociações emperrem e mesmo a movimentação russa se mostre infrutífera, representando uma fraqueja da dinâmica multilateral, com zero mudanças sobre o cenário internacional de cooperação entre países no tema.

Devidamente desenhado o panorama da situação, queremos aprofundar um pouquinho no teor da proposta que está em debate. Nossa reflexão aqui já tem em vista o texto mais recente disponível, datado de setembro de 2023, que ainda está em negociação. A partir da proposta original, o Comitê veio – inclusive com consultas abertas entre as sessões – buscando aprimorar o texto. Mas o resultado até agora não é tranquilizador.

Conteúdo da Convenção da ONU: do que ela trata e quais os desafios já identificados?

De forma resumida, o Comitê orienta a discussão nas sessões com uma minuta que demanda maior atenção crítica para as seguintes possibilidades: a) poder de vigilantismo por parte dos governos (art. 23 do referido documento), em que os estados poderiam vigiar e espionar ações entendidas como criminais de diferentes atores sociais; b) expansão da criminalização para outros crimes que não seriam considerados crimes cibernéticos; c) recolhimento de provas eletrônicas relacionadas com crimes que não os cibernéticos, independente de sua gravidade; d) compartilhamento de dados entre as instituições penais para investigação e combate de quaisquer crimes, sem parâmetros para essas ações; e) retenção de dados para investigações e ações estatais futuras.

Nesse contexto, e inclusive considerando que se trata de situações envolvendo países que nem precisam compartilhar fronteiras, a possibilidade de invasão da vida privada das pessoas é alarmante. Acessar dados pessoais para fins de espionagem, sem adequados limites normativos ou mesmo ordem judicial prévia, que observem direitos humanos, implica conferir aos Estados um alcance ilimitado, por exemplo, ao histórico de navegação, uso de celulares e até padrões de comportamento de quaisquer pessoas.

Em torno desses riscos, instituições da sociedade civil como Acces Now, Artigo 19 e HRW, EFF, Internet Society, Hiperderecho, Derechos Digitales, IPANDENTEC e R3D têm criticado os rumos da minuta. Elas se manifestaram por escrito ao Comitê da ONU e apontaram uma série de perigos:

a) a fragilidade dos meios de controlar excessos na vigilância pelos governos;

b) a forte probabilidade de abuso em vigilância interna;

c) o artigo 24, que trata de direitos humanos, não proporciona as salvaguardas robustas necessárias para reduzir os excessos na aplicação da lei;

d) necessidade de pedido judicial de investigação, assim como limite de tempo e possibilidade de alvos espionados indevidamente receberem uma satisfação;

e) necessidade de respeitar e defender as salvaguardas de direitos humanos na investigação e no processo criminal, mas também na cooperação internacional; e

f) a subjetividade do conceito de crime pode legitimar que estados criminalizem grupos vulnerabilizados, como a população LGBTQIAPN+.

Complexidade pede sensibilidade: breves posicionamentos e um convite aberto

O debate em torno da harmonização entre segurança e o combate a crimes por si só é complexo. Somado aos ingredientes da geopolítica mundial e das especificidades da sociedade da informação, temos um cenário de numerosos atores estatais e privados em um caminhar histórico de discussão recheado de impasses e muitos perigos. E esse importante campo de disputas tem se movimentado em direção a um possível resultado inédito, com uma tendência real de problemas graves.

Nesse nosso humilde exercício de reflexão e divulgação, gostaríamos de nos posicionar em pontos cruciais no processo da provável criação de uma Convenção Global de Cibercrimes:

1. a redação precisa levar em conta a preservação efetiva dos direitos humanos nos diversos contextos culturais e sociais dos países;
2. a proteção dos direitos fundamentais de privacidade e proteção de dados pessoais merece especial atenção no contexto das provas digitais;
3. a criação e defesa de parâmetros fortemente explicitados de possíveis atuações estatais e institucionais com força de polícia no campo de cibercrimes que barrem a possibilidade de vigilância desmedida e do uso irrestrito de dados, evitando possíveis excessos na aplicação da lei; e
4. em sociedades marcadas por preconceito e discriminação, como a brasileira, meios de espionagem ilimitados podem prejudicar ainda mais grupos já estigmatizados, como pessoas negras, LGBTQIAPN+, moradores de periferias, pobres e defensores de direitos humanos.

A questão dos cibercrimes como um todo, em particular no âmbito internacional, se insere na teia de objetos de interesse da governança da Internet. A partir dessa breve síntese que apresentamos, queremos promover mais sensibilidade ao tema na pauta nacional, na medida em que o Brasil tem participado das discussões do Comitê, mas a opinião pública tem se mantido alheia, mesmo entre as pessoas especializadas. Acompanhe as pesquisas do IRIS, pois pretendemos em breve contribuir com mais aportes nesse assunto.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.