O que muda para os usuários do WhatsApp com o novo mecanismo de criptografia ponta-a-ponta?
Escrito por
Fabrício Bertini Pasquot Polido (Ver todos os posts desta autoria)
4 de maio de 2016
Para quem é adepto e usuário dos serviços de comunicação eletrônica oferecidos pelo WhatsApp, algumas recentes mudanças, implementadas pela plataforma em escala global, podem trazer novos desafios para o Direito e o desenvolvimento dos segmentos da indústria de aplicativos de plataformas de mensagens. Em 5 de abril deste ano, a empresa ativou um sistema de criptografia “ponta a ponta”, destinado a todos os seus usuários. Em termos práticos, esse sistema faz com que todo conteúdo enviado por meio do aplicativo, como textos, vídeos e áudios, somente seja acessado por seus respectivos remetentes e destinatários. E mais, todos os dados relacionados à comunicação intermediada pela plataforma não mais permanecem nos servidores do WhatsApp, de tal modo que a empresa fica impossibilitada de “destrancar” ou abrir o conteúdo das mensagens, pois as chaves ficam com os usuários.
Como isso opera no mundo dos dados? Com base na chamada “criptografia de chave pública” ou “criptografia assimétrica”, para mandar uma mensagem para o usuário B, o usuário A pede ao WhatsApp uma chave pública, a qual será também válida para o B. O usuário A, então, utiliza a chave em questão para criptografar (ou “trancar”) a mensagem emitida. O usuário B, por seu turno, descriptografa (ou “destranca”) a mensagem com sua chave privada, a qual somente funciona no próprio smartphone de B. Dessa forma, o conteúdo só poderá ser acessado por A ou B, sem interferência da plataforma de mensagens instantâneas:
Fonte: Wired.com
A partir da tecnologia de criptografia “ponta a ponta”, nem mesmo o WhatsApp tem acesso às informações trocadas por seus usuários. Estima-se que essas informações sejam criadas e compartilhadas por cerca de um bilhão de pessoas ao redor do mundo. Outras grandes empresas de tecnologia, como a Apple e a Google, seguem em direção da mesma tendência. O inegável avanço no fortalecimento das estruturas de privacidade e proteção de dados, entretanto, parece traduzir-se em grande obstáculo para investigações criminais. A ofensiva global de autoridades policiais contra tecnologias de criptografia tem se desenrolado em distintas frentes: na França, por exemplo, denunciou-se o uso de aplicativos criptografados no planejamento de atos criminosos no recente atentado terrorista na Paris; nos Estados Unidos, o Departamento de Justiça (DoJ) iniciou processo de investigação envolvendo a Apple, pelo qual o órgão objetivava a divulgação de dados de suspeitos de terrorismo, em linha com as investidas do FBI em caso no qual o verdadeiro protagonista foi um objeto, um IPhone bloqueado. No Brasil, um executivo do Facebook foi preso em razão da alegada incapacidade técnica do WhatAapp de prover, às autoridades, informações sobre usuários, supostamente traficantes. Na prática, como é possível perceber, essas ações objetivariam um resultado prático: a quebra de sigilo de dados pessoais ou informações relacionadas à comunicação telemática entre usuários das plataformas de mensagens.
Sabe-se que o interesse dessas empresas na criptografia é legítimo e amplamente defendido em processos administrativos e judiciais, e mesmo em relação à opinião pública. Em muitos casos, esses processos questionam o próprio modelo de negócios informacional, para o qual o acesso a dados de usuários é basilar. No caso do WhatsApp, a justificativa oficial é ideológica e tem como objetivo ulterior a privacidade de usuários. Segundo o site da empresa, “Privacidade e segurança estão em nosso DNA. É por isso que temos de criptografia ponta-a-ponta nas últimas versões do nosso aplicativo. Ao fim-de-final criptografado, suas mensagens, fotografias, vídeos, mensagens de voz, documentos e as chamadas são garantidos caiam nas mãos erradas”.
No sistema jurídico brasileiro, não existem leis os regulamentos que disciplinem a criptografia de dados em plataformas de mensagens instantâneas e serviços similares. O Art. 10 do Marco Civil da Internet (Lei nº 12.965/2014) vincula a guarda e provisão de registros de conexão e acesso a aplicações da Internet, dos dados pessoais e do conteúdo de comunicações privadas, à observância da “preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas”. Empresas como Google, Facebook, WhatsApp, Telegram, Viber, somente poderiam ser obrigadas, de acordo com o Marco Civil da Internet, a disponibilizar de registros de acesso e outras informações de identificação de usuários mediante ordem judicial. Isso porque o legislador buscou assegurar valores essenciais da Sociedade Global do Conhecimento no tratamento das relações jurídicas emergentes com o acesso à internet e proteção dos usuários: i) inviolabilidade da intimidade e da vida privada; ii) inviolabilidade e sigilo do fluxo de comunicações pelas redes; iii) inviolabilidade e sigilo de suas comunicações privadas armazenadas.
No quadro legal estabelecido, o Marco Civil prevê, em regra, que a quebra de sigilo dos dados que estão em poder do provedor seja submetida ao controle jurisdicional e ao procedimento de requisição judicial, conforme determinam os seus artigos 10 e 22, parágrafo único. Diante disso, provedores somente podem ser compelidos a fornecer dados mediante ordem judicial, na estrita observância dos critérios previstos em lei. Isso porque o fornecimento desses dados resultaria na quebra do sigilo das comunicações, privadas ou mediadas pela Internet. Em relação aos poderes das autoridades administrativas para a obtenção de determinados dados sigilosos de usuários da Internet, sem necessidade de ordem judicial, o Artigo 10, § 3º do Marco Civil, admite apenas uma permissão de requisição direta de dados pela via administrativa. Contudo, esses dados dizem respeito a aspectos cadastrais do registro do usuário em dado serviço ou aplicação.
No Estado Democrático de Direito, a observância da garantia institucional de inviolabilidade do sigilo das comunicações exige o adequado balanceamento dos interesses do indivíduo, da sociedade e dos interesses públicos. Em linha com a precisa opinião, expressada por Tercio Sampaio Ferraz Jr.., nas situações em que a Constituição garante a inviolabilidade do sigilo, o sopesamento exige que os tribunais saibam distinguir entre a violação que afronte o direito à privacidade, no seu objeto, em relação com objetos de outros direitos também protegidos pelo sigilo. Seria, assim, sempre uma tarefa interpretativa: questionar a exata medida e os limites pelos quais os órgãos judiciais e administrativos podem exercer suas respectivas autoridades no que diz respeito ao disposto nos incisos X e XII do art. 5º da CF/88.
Tanto a privacidade quanto a inviolabilidade de sigilo de dados são princípios informadores das relações mais elementares da cidadania e dos fundamentos republicanos do Rechststaat, assentados na justiça, integridade, separação dos poderes, promoção de direitos humanos e empoderamento da sociedade civil. O Estado, por sua vez, também não poderia ser impedido de exercer seu poder de polícia e seu poder regulamentar. O sigilo tem a ver com a segurança dos próprios cidadãos e exclui, do arbítrio de parte da sociedade e do Estado, o poder de acesso aos dados pessoais de usuários que estejam em poder dos provedores. Nesse sentido, enquanto esteja assegurada, nas esferas constitucional e infraconstitucional (e.g. Marco Civil, a inviolabilidade de sigilo de dados de cidadãos, os poderes de fiscalização e de polícia na esfera tributária, por exemplo, impõem um dever conexo de proteção do sigilo ao próprio Fisco, na coleta e no tratamento de informações de contribuintes, particularmente quando eles “transitam” em diferentes meios, analógicos, eletrônicos e digitais, incluindo aplicações de internet que seriam alvos de certas requisições por via administrativa, com base no Artigo 10, § 3º do Marco Civil.
De qualquer forma, existe um limite nessa autorização conferida pelo Marco Civil brasileiro, tendo em vista que as empresas de internet não são obrigadas a manter informações úteis às investigações criminais. A criptografia não atuaria, a nosso ver, como fator impeditivo de investigações – e, com isso, tomado dentro de medida de ilegalidade por, à primeira vista, estabelecer obstáculos ao exercício de poder de polícia ou prossecução criminal. Como sabemos, se por um lado a inviolabilidade do sigilo é condição do direito fundamental à privacidade (garantia que otimiza a realização do direito individual), por outro, a Constituição Federal, segundo o Art. 5º, XII, ressalva a investigação criminal ou instrução processual como possíveis limitações ao sigilo da correspondência e das comunicações. O fato de a criptografia “ponta-a-ponta” tecnicamente impossibilitar a disponibilização (sic) ou abertura de dados privados que seriam solicitados para investigações criminais não constitui ilegalidade per se.
E para concluir: como o Direito Internacional tem capturado a realidade da criptografia de dados que diariamente circulam entre aplicações e smartphones? A resposta parece estar muito mais na observação sobre as condutas das empresas de internet em escala transnacional. Aplicações desenvolvidas por Google, Facebook, Apple, WhatsApp, Viber, Twilio, Skype, são concebidas a partir de padrões de segurança e privacidade próprios, os quais informam um regime particular (eu ousaria dizer, originalmente autônomo) de tratamento normativo de dados de usuários. Ele justifica a racionalidade e a pretensão de reconhecimento da chamada Lex Informatica. É inegável que esse regime conte com sujeitos e instituições próprias, mas ele não se desvincula dos sistemas jurídicos estatais. Ainda nestes, usuários, sociedade civil e Estado se vinculam às constituições e tratados, dentro da necessária observância dos direitos fundamentais.
Escrito por
Fabrício Bertini Pasquot Polido (Ver todos os posts desta autoria)
Fundador e membro do Conselho Científico do Instituto de Referência em Internet e Sociedade. Doutor em Direito Internacional pela Faculdade de Direito da Universidade de São Paulo (‘magna cum laude’, 2010) e Mestre pela Universitá degli Studi di Torino, Itália. Foi também pesquisador visitante – nível Pós-Doutorado – do Max-Planck Institute for Comparative and International Private Law em Hamburgo, Alemanha em 2012.
Professor Adjunto de Direito Internacional da Faculdade de Direito da Universidade Federal de Minas Gerais (UFMG). Professor do corpo permanente do Programa de Pós-Graduação em Direito, na mesma instituição. É membro do Comitê de Direito Internacional Privado e Propriedade Intelectual da International Law Association (ILA), da Sociedade de Direito Internacional Econômico e da Associação Americana de Direito Internacional Privado.
Coordenador do Grupo de Estudos Internacionais em Internet, Inovação e Propriedade Intelectual, da Universidade Federal de Minas Gerais (GNet-UFMG) e Membro do Observatório Brasileiro de Direito Internacional Privado – Brazilian PIL Watch. Autor de livros e artigos publicados no Brasil e exterior.
Com o IRIS, tem desenvolvido pesquisas colaborativas envolvendo temas do direito internacional, cooperação internacional e direito de internet.