Caminhos da pesquisa: nossos marcos teóricos para criptografia

Ao pesquisar sobre proteção online de crianças e adolescentes no MERCOSUL, partimos de duas obras brasileiras no tema da criptografia

Há bastante tempo a criptografia interessa ao IRIS, e nós já temos familiaridade com uma densa bibliografia sobre o tema, mas ela basicamente está escrita em inglês e é marcada pela autoria oriunda dos Estados Unidos e da Europa. Apesar desse cenário, optamos por enfrentar um desafio: no contexto da proteção de crianças e adolescentes contra violência sexual online, como fazer pesquisa científica sobre criptografia a partir de obras oriundas do Sul Global?

A seguir, apresentamos uma síntese de dois trabalhos acadêmicos brasileiros que escolhemos como parte do nosso marco teórico. A ideia é aproximarmos você que nos lê do nosso processo de pesquisa, que já gerou um Guia Informativo:  Artefatos Normativos Sobre Direitos de Crianças e  Adolescentes em Ambientes Digitais no MERCOSUL, e cujo produto final será uma publicação mais profunda nos próximos meses. Mas antes dessas novidades futuras, vamos subir nos nossos “ombros de gigantes”*!

✳️ A metáfora alude a produzir saberes novos a partir de saberes produzidos antes, ou como disse Isaac Newton: “Se eu vi mais longe, foi por estar sobre ombros de gigantes”.

Bases da criptografia para um olhar local sobre proteção online de crianças e adolescentes

Ao lado da nossa parceira de pesquisa aqui no IRIS, Luiza Dutra, nós dois, Paulo Rená e Wilson Guilherme, estamos desenvolvendo o projeto “Segurança da Informação e Proteção de Crianças e Adolescentes: Discursos e Propostas Regulatórias no MERCOSUL”. Em texto anterior, já contamos nossa intenção de compreender como se entrelaçam os temas da criptografia e da proteção de direitos de crianças e adolescentes online no MERCOSUL. Explicamos a distinção entre os conceitos de abuso sexual (desrespeito à intimidade e à sexualidade) e exploração sexual (ofensa à integridade aliada ao intuito financeiro), duas espécies do macro-conceito “violência sexual”.

Esse nosso objeto de pesquisa nasceu de uma consideração crítica a respeito da guerra de narrativas que orbita o frágil argumento de que reduzir a força da segurança da informação poderia viabilizar melhores investigações de violências sexuais online contra essa parcela vulnerável da população. Será mesmo que quebrar a criptografia ajudaria a proteger a infância em ambientes digitais? E como essa questão tem sido abordada fora da Europa e dos EUA?

O nosso recorte se justifica na ausência de um olhar sobre esse tema de tecnologia e direito a partir do Sul Global. Trata-se de uma lacuna assumida expressamente no recente estudo Privacy and Protection: A children’s rights approach to encryption (“Privacidade e Proteção: uma abordagem dos direitos das crianças à criptografia”, em tradução literal), ciente de suas perspectivas de análise anglo-saxônicas e eurocentradas.

De um lado, precisamos de uma base conceitual sobre crianças e adolescentes; e, do outro lado, precisamos de um marco teórico para pensarmos as questões jurídicas em torno da criptografia. Em linha com nossa opção de pesquisa, assumimos o desafio de contar com obras da região do Mercosul. Infelizmente, não conseguimos nos valer de nenhuma obra produzida por nossos vizinhos do continente, mas selecionamos dois trabalhos acadêmicos brasileiros cuja riqueza autoriza essa limitação (a qual admitimos e lançamos desde já como oportunidade para futuras pesquisas: quais seriam as obras fundamentais sobre o tema produzidas na América Latina?).

Então, apresentamos neste texto duas breves resenhas, para “Direito e Criptografia: direitos fundamentais, segurança da informação e os limites da regulação jurídica na tecnologia”, de Carlos Liguori, e “Políticas De Encriptação: Entre a Codificação de Direitos, Regulação Pública e o Cipher-Ativismo”, de André Barbosa Ramiro Costa.

Carlos Liguori: limites legais para a segurança tecnológica

Trata-se do livro de Carlos Augusto Liguori Filho, “Direito e Criptografia: Direitos Fundamentais, Segurança da Informação e os limites da regulação jurídica na tecnologia”, lançado em 2022 pela editora SaraivaJur, derivado da tese de doutorado desenvolvida sob orientação de Rafael Mafei Rabelo Queiroz, e apresentada em maio de 2021 à Faculdade de Direito da Universidade de São Paulo para a obtenção do título de Doutor em Direito.

LIGUORI, Carlos. Direito e Criptografia: direitos fundamentais, segurança da informação e os limites da regulação jurídica na tecnologia. São Paulo: SaraivaJur, 2022.

Carlos Liguori reflete sobre os parâmetros mínimos entre segurança da informação e a regulação jurídica das tecnologias comunicacionais, a fim de ultrapassar a dicotomia equivocada que opõe privacidade e segurança, e direcionar o olhar para a proteção de direitos como liberdade de associação, livre iniciativa, e desenvolvimento tecnológico. Ele inicia apresentando a importância da segurança da informação e a necessidade e as aplicações práticas da criptografia. Em seguida, oferece um contexto histórico que revela a natureza político-jurídica dos debates, detalhando o surgimento da tecnologia em períodos anteriores ao digital, passando pelo forte uso no contexto das grandes guerras do início do séc. XX, e chegando até às denominadas “guerras criptográficas” (cryptowars) que marcam a transição para o séc. XXI, sempre expondo as posturas do poder público, do setor privado, da comunidade técnica e da sociedade civil.

E nesse contexto, o autor explica que a cifragem não é exclusividade contemporânea, mas o atual contexto digital confere à criptografia um papel popular, compondo a vida cívica por meio das novas tecnologias, o que acelerou inclusive o avanço na sofisticação das técnicas de encriptação e decriptação. Para Liguori essa popularização se liga ao desejo social por privacidade e informações autênticas, confidenciais e disponíveis apenas as partes legítimas.

Nessa chave, aborda a regulação do tema pelo direito brasileiro, tanto pelo direito constitucional (privacidade, sigilo das comunicações, liberdade de expressão), quanto pelas leis ordinárias (Marco Civil, interceptação telefônica e telemática, provas digitais, bancos de dados). Liguori então sugere abordagens legislativas adequadas para temas como o hacking governamental, portas clandestinas, acesso indevido a senhas e dados biométricos, mangueira de borracha e outras ameaças à segurança.

Ao final, Liguori chega a três conclusões centrais:

1.  a regulação legal deve estimular a criptografia forte e viabilizar a entrega do conteúdo investigado desencriptado em circunstâncias muito bem definidas, que respeitem o direito da pessoa não se autoincriminar;
2.  no curto prazo, devem ser aprimorados os mecanismos tecnológicos existentes de obtenção de dados, em particular os que envolvem nuvem e metadados; e
3.  no longo prazo, deve ser estabelecido um arcabouço jurídico para o hacking governamental, pautado pela proteção de direitos humanos e acompanhado da capacitação técnica de investigadores, magistrados e fazedores de política pública.

André Costa: limites tecnológicos para a realização de direitos

Trata-se da dissertação de André Barbosa Ramiro Costa, “Políticas de Encriptação: Entre a Codificação de Direitos, Regulação Pública e o Cipher-Ativismo”, desenvolvida sob orientação de Ruy José Guerra Barretto de Queiroz, e apresentada em abril de 2021 ao Programa de Pós-Graduação da  Universidade Federal de Pernambuco para a obtenção do título de Mestre em Ciência da Computação.

COSTA, André Barbosa Ramiro. Políticas de encriptação: entre a codificação de direitos, regulação pública e o cipher-ativismo. 2021. Dissertação (Mestrado em Ciência da Computação) – Universidade Federal de Pernambuco, Recife, 2021. Disponível em https://repositorio.ufpe.br/handle/123456789/42872. Acesso em 25 Jun. 2024.

Se entre decisões políticas e técnicas na comunicação, a criptografia se tornou central, questões como políticas da informação, governança da internet e o papel da criptografia como ferramenta política e moral se tornam centrais. Qual a importância da criptografia na garantia da segurança e confiabilidade das comunicações online? André Costa investiga o papel histórico contemporâneo da criptografia nas relações de poder e na proteção da privacidade.

O autor parte do pressuposto de que a criptografia se insere no mosaico da governança da internet como instrumento de rearranjo de poder, que reduz tanto a exigência de transparência para governados quanto a opacidade para governantes, e por isso sua democratização enfrenta resistência do status quo. Mediante investigação teórica e revisão de literatura, narra a história dessa resistência política, em especial olhando para EUA e Brasil, bem como dados de uso da tecnologia de encriptação na economia e na cibersegurança, em busca de compreender as narrativas contra a criptografia em termos linguísticos, políticos, metafóricos e morais.

O trabalho de Costa ajuda a pensar a construção das políticas de criptografia enquanto políticas de segurança pública, dando insumos para refletir tanto sobre estratégias estatais de vigilância (hacking governamental e outras práticas do poder público para superar a criptografia e alegadamente viabilizar a persecução penal ou a prevenção de delitos) e estratégias privadas de lucro (a expansão do abusivo comércio de dados pessoais depende da falta de criptografia).

Ao analisar os argumentos favoráveis ao enfraquecimento da criptografia, Costa menciona entre as justificativas da fragilização o combate às redes de exploração infantil, registrando como os argumentos de proteção à criança e ao adolescente contra violência sexual estão presentes nas narrativas políticas e jurídicas, por exemplo, favoráveis a inserção de portas clandestinas (backdoors). Como contraponto, Costa analisa o estudo do UNICEF, ponderando que medidas de segurança e privacidade servem também para a proteção não apenas de crianças e adolescentes em geral, mas de grupos mais vulnerabilizados.

Lista de instrumentos de análise

A partir dessas duas obras, quais os instrumentos de análise potencialmente úteis para a nossa pesquisa sobre direitos de crianças e adolescentes em ambientes digitais? Resumimos a seguir em alguns tópicos os aspectos que temos usado como chave em nossa leitura do cenário:

• Conceitos básicos da criptografia moderna, com explicação de termos como cifras e chaves; simetria e assimetria; dados em trânsito e armazenados; ponta a ponta, etc.;
• O imenso leque de aplicações cotidianas da criptografia, não apenas em aplicações de internet, mas também em sistemas bancários, telefônicos e até de eletricidade
• Historicidade do caráter político-jurídico do debate sobre criptografia e privacidade, a partir da popularização das TICs e envolvendo, de um lado, e, de outro, a defesa do uso das técnicas mais fortes de segurança digital
• Criptografia forte como uma solução técnica à demanda multifatorial da sociedade por autenticidade, confidencialidade, disponibilidade e não-repúdio dos dados online
• A expansão conjunta dos programas de vigilância estatal e do mercado de dados pessoais
• A natureza criminal e restritiva de direitos nos argumentos pelo enfraquecimento ou proibição da criptografia forte.
• Segurança tecnológica como tema complexo de interesse social difuso na sociedade, incluindo em particular crianças e adolescentes; e
• Necessidade urgente de harmonização entre segurança tecnológica e proteção de direitos humanos na regulação legal de ambientes digitais. 

Na articulação desses tópicos, com os conceitos apresentados em texto anterior, nos propomos a construir o marco teórico interpretativo das investigações, lançando-os como ferramentas de análise das entrevistas a especialistas do Mercosul, e sobre as legislações correlacionadas ao tema em vigência ou em proposição. 

Próximos passos…

Em 19 de junho de 2024 divulgamos nossos primeiros resultados. No já citado Guia Informativo, recolhemos normas legais de Argentina, Brasil, Paraguai, Uruguai e Venezuela que identificamos como pertinentes para nossa pesquisa. Em breve, esse material ganhará versões em inglês e espanhol.

E em julho planejamos concluir nosso relatório final, com a análise dessas normas, isoladas e em conjunto, além das entrevistas que fizemos com especialistas de cada país do MERCOSUL. Ainda, pensamos em listar recomendações para quem formula políticas públicas sobre essa temática. 

Se você tem interesse em dialogar conosco, ou apenas em conhecer as camadas pouco expostas dos discursos e narrativas nos debates da governança da internet, acompanhe nossas redes sociais para saber sobre o caminhar dessa e de outras pesquisas do IRIS.