O ponto cego dos relatórios de transparência

Nossos dados e comunicações pessoais podem ser obtidos por autoridades em investigações. Isso ocorre sem sermos alertados, e governos não divulgam os pedidos feitos a empresas. No post de hoje, conheça melhor a principal fonte sobre o que é fornecido ou não: os relatórios de transparência das empresas. 

Revelando, mas com restrições 

“Acreditamos que é seu direito saber que tipo de pedidos e quantos cada governo está fazendo a nós e a outras companhias”

Esta foi a fala de Richard Salgado, diretor jurídico da Google, em 2013. Normalmente, o relatório incluía somente pedidos judiciais e emergenciais de dados, por tipo. Naquele ano, a empresa anunciou que iria divulgar quantos pedidos de conteúdo de comunicação haviam sido feitos por meio da FISA (Foreign Intelligence Surveillance Act – Lei de Vigilância de Inteligência Estrangeira), e fora impedida pelas autoridades dos EUA (hoje em dia, a informação está disponível aqui). Isso tudo ocorreu depois das revelações de Snowden a respeito da vigilância online praticada pelo governo dos EUA sob a bandeira do combate ao terrorismo.

Pedido feito à Google pela NSL (Agência de Segurança Nacional dos EUA) para fornecer nome, endereço e registro de comunicações eletrônicas de determinado e-mail ou IP.

Trecho da carta de permissão da NSL para o Google poder revelar os dados sobre quantos pedidos recebeu e contas envolvidas.

A obtenção de dados pessoais de alguém em investigações sem informar o titular não é algo novo nem incomum. O grampo telefônico é um exemplo disso. A prática faz parte dos procedimentos adotados por autoridades a fim de evitar que a pessoa investigada destrua potenciais evidências. Essas operações, entretanto, eram realizadas em sigilo, até que os fornecedores das informações resolveram publicizar alguns dados.

A discussão sobre os relatórios de transparência

Desde a década passada, gigantes da internet e das telecomunicações divulgam relatórios desses pedidos de autoridades. Como elas lidam com dados pessoais de milhões, é comum serem chamadas para colaborar em investigações. Embora não possam divulgar quem foi alvo de pedidos, as empresas passaram a publicizar o quantitativo dessas solicitações e quais os países que as realizam.

Os relatórios de transparência consistem em explicações gerais sobre motivos para cooperar ou não com pedidos de autoridades, número de pedidos realizados, e número de pedidos atendidos, por país. Alguns serviços revelam o número de contas de usuários envolvidas e o tipo de solicitação.

Desde a regulação de procedimentos de grampo telefônico, há quem questione a prática de investigação sigilosa. Existe grande polêmica sobre o dever de informar a pessoa investigada – mesmo quando o pedido não envolva comunicações, mas “apenas” dados cadastrais, por exemplo. De um lado, defende-se o fornecimento de dados às autoridades para promover o cumprimento da lei, averiguando ilícitos, identificando e localizando responsáveis. De outro, defende-se que há o direito de uma pessoa, como cidadã, de saber acerca de acusações e suspeitas sobre si, bem como de investigações que a envolvam.

O ângulo investigativo tem sido priorizado pela legislação. Até mesmo a novíssima (e em breve vigente) Lei Geral de Proteção de Dados (art. 4º, III) brasileira exclui segurança pública de seu alcance de aplicação. 

Por que transparência importa? 

O tratamento e as formas de obtenção de dados pessoais por autoridades permanecem na opacidade. Segundo relatório publicado pela EFF, a maioria dos órgãos de inteligência latinoamericanos foi constituída em períodos ditatoriais. Quem investiga informações e comunicações ainda guarda uma relação autoritária de sigilo e hermetismo em relação aos cidadãos. Estados não produzem relatórios de transparência. 

Nesse contexto, os relatórios são indicadores sobre as garantias à privacidade e à autodeterminação informacional. É possível conhecer os maiores demandantes e quantos pedidos realizaram. Mas não é o suficiente, pois essas informações carecem de verificação. 

Só existem duas pontas onde os números e os detalhes sobre os pedidos de dados pessoais são conhecidos: as autoridades e as empresas. A cultura do acesso à informação pública não é algo consolidado, sobretudo em países como o Brasil, de histórico ditatorial – vide as tentativas de restrição à lei de acesso à informação ocorridas neste ano. Devido às políticas institucionais de sigilo de operações de segurança pública, os pedidos de informação não são relatados pelas autoridades, sua publicidade tem como fonte única as empresas. Isso acarreta em uma transparência opaca. 

Ampliando a perspectiva 

O modelo atual de relatórios autodeclarados é importante, pois fornece algumas bases para conhecer a realidade do fornecimento de informações entre empresas e autoridades. No entanto, ele não permite verificar se os dados estão corretos. Também é difícil questionar determinado caso de entrega ou negativa sem saber os detalhes e seus fundamentos legais. Seguimos sem conhecer a forma como são tratados nossos dados e comunicações pessoais no âmbito de investigações e, portanto, sem poder pressionar por mudanças. 

Talvez seja preciso dar um passo atrás e, seja como cidadãos, frente ao governo, ou como consumidores, frente às empresas, pressionar por mais transparência sobre o que é feito de nossos dados e comunicações, também na esfera da segurança pública.

O tema deste post também é um convite ao debate sobre o assunto, que será aprofundado em painel proposto pelo IRIS no Fórum da Internet no Brasil (FIB) “Proteção de dados e segurança pública no Brasil: contexto regulatório atual e perspectivas futuras”. O painel acontece no dia 4 de outubro de 2019, em Manaus, terá transmissão ao vivo. Você pode enviar perguntas e intervenções através deste formulário.