O Senado brasileiro se apressa para aprovar um projeto de lei que compromete seriamente a privacidade e a liberdade de expressão. Chamado de “Lei das Fake News,” o PLS 2630/2020 visa tratar de um problema complexo, para o qual as respostas devem ser cuidadosamente desenhadas de maneira democrática e participativa. Ao contrário do Marco Civil da Internet, lei aprovada em 2014 com ampla e intensa participação social, o PLS 2360/2020 está marcado por um debate açodado e pouco transparente, durante período de operação excepcional das atividades legislativas em razão da pandemia de COVID.

Depois que o alarmante relatório do projeto em Plenário sequer  protocolado oficialmente quase foi votado na última terça-feira, seu autor original apresentou um texto substitutivo e há outras propostas em discussão. Buscando coibir a disseminação de desinformação online, o projeto de lei carece de precisão para evitar denúncias e interpretações abusivas. Ele também cria tipos penais, proibições e obrigações que restringem formas legítimas de nos expressarmos online e expõem gravemente as comunicações dos usuários.

Ressaltamos aqui alguns dos pontos mais preocupantes do projeto de lei:

Provedores são obrigados a guardar a cadeia de comunicações encaminhadas por um ano

Redes sociais e aplicações de mensagens privadas estariam obrigadas a guardar a cadeia de todas as comunicações que tenham sido encaminhadas rastreando todos os seus nós, independentemente de se a distribuição do conteúdo foi feita maliciosamente na origem ou ao longo da cadeia. Trata-se de uma obrigação de retenção massiva de dados, que afeta milhões de usuários ao invés de apenas aqueles investigados por uma conduta ilegal. Embora o Brasil já possua obrigações de retenção de metadados de comunicação específicos, a regra proposta vai além. Conhecer a cadeia de comunicação de mensagens encaminhadas implica que um determinado conteúdo está vinculado ao histórico de metadados; e isso será usado justamente para retroceder toda a cadeia até a origem de um conteúdo que já é conhecido.

Essa obrigação mina proteções chave garantidas por aplicações de criptografia de ponta a ponta, destinadas exatamente a assegurar a confidencialidade nas comunicações. E há razões centrais para protegê-las. A comunicação entre jornalistas e suas fontes, agentes da lei discutindo aspectos sensíveis de investigações contra um político poderoso, comunidades se organizando para resistir a perseguições, e muitas mais. Recompor uma cadeia de comunicação pode revelar aspectos altamente sensíveis de indivíduos, grupos e suas interações, mesmo quando nenhum deles está de fato envolvido com atividades ilegítimas. As avenidas para abuso estão abertas.

A proposta demanda uma ordem judicial para que provedores entreguem a cadeia de metadados, mas esse acesso não está limitado a casos criminais. Qualquer parte interessada poderia requerer essa informação ao juiz em uma ação civil. Além disso, os parâmetros que o juiz deve considerar para autorizar a medida fornecem uma barreira bem mais baixa do que aqueles estabelecidos na Lei de Interceptação Telefônica. Os riscos são mais altos para comunidades vulneráveis, ativistas, movimentos sociais, jornalistas, especialmente em contextos locais de disputa e perseguição. Lembre-se que mesmo com as proteções mais fortes da Lei de Interceptação Telefônica, a Corte Interamericana de Direitos Humanos condenou o Brasil por interceptação ilegal contra representantes de movimentos sociais pelo descumprimento de  garantias legais. Por outro lado, a reconstrução precisa de cadeias de reencaminhamento apresenta desafios próprios. O uso de técnicas como a função hash para cumprir com essa obrigação não está imune a burlas, já que a mudança em qualquer bit da mensagem levaria a um novo hash e afetaria o rastreamento da cadeia.

Além disso, essa obrigação desconsidera como funcionam arquiteturas mais descentralizadas de comunicação. Ela presume que provedores de aplicações são sempre capazes de identificar e distinguir conteúdos encaminhados e não encaminhados. Isso depende na prática da arquitetura do serviço e da relação entre a aplicação e o serviço. Quando os dois são independentes é comum que o serviço não consiga diferenciar entre conteúdo encaminhado e não encaminhado, e que a aplicação não armazene o histórico de encaminhamentos a não ser no dispositivo do usuário. Essa separação na arquitetura de serviços e aplicações é muito tradicional em serviços de Internet e, embora seja menos comum atualmente nas aplicações de mensagens privadas, a obrigação limitaria o uso de XMPP ou soluções similares. A obrigação poderia também impactar negativamente aplicações de mensagens de código aberto, desenhadas para permitir que usuários não só entendam, mas também alterem suas funcionalidades.

O PL restringe, e potencialmente criminaliza, expressões legítimas.

Mesmo não restringindo conteúdos específicos, a proposta proíbe “contas inautênticas” e “contas automatizadas não identificadas,” estas últimas quando o usuário não informa o uso de automatização para o provedor e o público em geral. Ao menos para as “contas inautênticas,” isso implicaria uma obrigação legal geral de monitoramento da identidade dos usuários, com implicações severas para a privacidade e a liberdade de expressão. Mais ainda, as definições propostas nos dois casos são amplas e ameaçam expressões legítimas. Contas combinam com frequência ações automatizadas e não automatizadas. A proposta busca coibir atividades maliciosas de “cyborgues,” mas atinge uma miríade de outros usos. Empresas e grandes organizações usam ferramentas para ajudar na gestão de redes sociais, que permitem que diferentes funcionários postem sem que tenham acesso direto à conta e as suas credenciais – o que não transforma a conta em um robô.

Ainda mais grave, muitas campanhas da sociedade civil utilizam ferramentas que permitem que os usuários postem mensagens padrões a partir de seus próprios perfis, que também não são robôs. Ferramentas que são cruciais para o debate público e as contas participantes dessas campanhas seriam um alvo atrativo para denúncias abusivas e censura. Abusos similares acontecem, repetidamente, com base nos termos de serviço das plataformas e afetam desproporcionalmente grupos vulneráveis.

Para piorar o problema, essas definições excessivamente amplas podem levar à criminalização de ativistas, movimentos sociais e organizações. A proposta inclui a operação de contas inautênticas, contas automatizadas não identificadas ou redes de distribuição artificial não identificadas como crimes previstos na Lei de Organizações Criminosas e de Lavagem de Dinheiro, com altas penas de reclusão (até 8 ou 10 anos, respectivamente, sem os agravantes). Vale ressaltar que ambas as leis permitem o acesso a dados cadastrais de usuários sem ordem judicial.

Obriga os provedores a identificar todos os usuários

O projeto de lei obriga grandes redes sociais e aplicações de mensagens privadas a requerer a identificação e localização de todos os usuários. Esse é um requerimento retroativo, o que significa que todos aqueles que já possuem contas também terão que apresentar um documento válido. Propostas como essa sempre vêm acompanhadas de uma série de riscos. Ainda que o projeto garanta o uso de pseudônimo para o público em geral e demande uma ordem judicial para a obtenção da identidade real do usuário, ele contém exceções substanciais. Os crimes criados pelo projeto, incluídos na Lei de Organizações Criminosas e na Lei de Lavagem de Dinheiro, poderiam autorizar o acesso de dados cadastrais dos usuários por delegados de polícia e membros do Ministério Público, incluindo nomes e endereços, sem uma ordem judicial.

Além disso, obrigar aplicações a guardarem ainda mais informações sobre os usuários, como documentos de identidade, aumenta os riscos ligados a vazamentos de dados e crimes relacionados, como os de roubo de identidade e fraude – um risco que não poupa grandes provedores como Facebook e Twitter. Na verdade, tentativas de “estabelecer identidades autênticas” para coibir a desinformação online tende a levar à coleta de dados crescente e desproporcional dada as dificuldades inerentes da tarefa. Mesmo em espaços de problema menores, como sistemas de pagamento, a determinação da identidade permanece afligida por fraudes e riscos não negligenciáveis à privacidade. Devemos lembrar que estamos lidando principalmente com atores maliciosos prontos a explorar maneiras de burlar a lei. Identidades falsas não digitais podem ser usadas, papelada pode ser forjada e atores maliciosos podem usar escala para atacar sistemas de identidade, também de forma a desacreditar outras pessoas.

Atinge novamente a liberdade de expressão ao prever pena de bloqueio de aplicações

Todos os problemas acima são agravados pelo fato de as penalidades previstas no projeto incluírem a suspensão temporária das atividades das aplicações. Essas suspensões são injustificáveis e desproporcionais. Elas comprometeriam as comunicações de milhões de brasileiros que dependem desses provedores para conversar, trabalhar, acessar informação e expressar suas ideias de forma mais ampla. Além do mais, provedores de aplicação sob a ameaça de serem bloqueados aplicarão duramente as regras problemáticas para a proteger as suas atividades, restringindo contas diante da menor dúvida. Ainda que o projeto estabeleça processos de notificação e contestação, as plataformas ainda falham amplamente em garanti-los de forma significativa e contas legítimas serão sistematicamente silenciadas.

 

 

 

Related Issues

Free Speech
International

Related Updates

Deeplinks Blog by Joe Mullin | December 5, 2024

This Bill Could Put A Stop To Censorship By Lawsuit

SLAPPs aren’t designed to win on the merits, but rather to harass journalists, activists, and consumers into silence by suing them over their protected speech. The Free Speech Protection Act would secure strong federal protection for people who have been subject to these meritless lawsuits.