EFF - 5 falhas graves no novo projeto de lei “Fake News” brasileiro que comprometerá os direitos humanos

EFF - 5 falhas graves no novo projeto de lei “Fake News” brasileiro que comprometerá os direitos humanos [ATUALIZADO]

POR KATITZA RODRIGUEZ E SETH SCHOEN

• PORTUGUÊS

Atualização: Na terça-feira à noite (30/06), o Senado brasileiro aprovou o PLS 2630/2020, a chamada conta "Fake News". Uma emenda final reduziu o artigo 7 "Registro da conta", de modo que a identificação obrigatória não se aplica mais a todos os usuários e é, em princípio, opcional em geral. De acordo com o texto revisado, as empresas "podem" exigir identificação dos usuários onde houver queixas de não conformidade com a lei de "notícias falsas" ou quando houver motivos para suspeitar que são bots, que estejam se comportando de forma não autêntica ou assumindo a identidade de outra pessoa. Também é esperado que as redes sociais e o aplicativo de mensageiros privados criem alguns meios de detectar fraudes na criação de contas (artigo 7, parágrafo um). Essas novas disposições parecem corresponder às práticas existentes na maioria das empresas, mas podem ser expandidas para incluir também as novas obrigações estabelecidas na lei de "notícias falsas".

Uma emenda restringiu o artigo 8, “Registro da conta”, para que se aplique apenas a contas de mensagens privadas "vinculadas exclusivamente a números de telefone celular" (ainda potencialmente tremendamente confuso na prática); os serviços de mensagens privadas são solicitados a verificar com as operadoras de celular quais números tiveram seus contratos rescindidos para suspender as contas relacionadas no aplicativo. Esta disposição agora exclui redes sociais.

Uma emenda removida “dentro do escopo de seu serviço” do artigo 9, que diz que os serviços de mensagens privadas devem limitar o tamanho de grupos e listas privados. Essa última alteração pode minar a inovação de produtos futuros com base em sistemas de mensagens ponto a ponto que, por design, não podem controlar o tamanho de um grupo.

Outra emenda reduziu o artigo 10 "provisão de rastreabilidade", forçando apenas os aplicativos de mensagens privadas  a manter a cadeia de todas as comunicações que foram "encaminhadas em massa" para fins de investigação ou processo criminal potencial. As versões anteriores da conta, conforme explicado em nosso post abaixo, também incluíam redes sociais. A viralidade de uma mensagem e os limites não alteram a privacidade e os direitos do devido processo do remetente original. Encaminhar uma mensagem popular não significa que você deva estar automaticamente sob suspeita. A provisão de rastreabilidade é um "mandato técnico" que obriga os aplicativos de mensagens privadas a mudar sua plataforma de design de privacidade para enfraquecer suas proteções de privacidade.

Todas as outras partes das disposições discutidas neste post permaneceram intactas.

---

O artigo original foi publicado na segunda-feira de manhã, 29 de junho de 2020. 

O Senado brasileiro deverá votar esta semana a versão mais recente do PLS 2630/2020, o chamado projeto de lei "Fake News". Essa nova versão, supostamente destinada à segurança e a restringir "ações coordenadas maliciosas" por usuários de redes sociais e aplicativos de mensagens privadas, permitirá ao governo identificar e rastrear inúmeros usuários inocentes que não cometeram nenhuma irregularidade para capturar alguns atores maliciosos. 

O projeto de lei cria um regime regulatório desajeitado para intervir nas decisões políticas e de tecnologia dos serviços de mensagens públicas e privadas no Brasil, exigindo que eles instituam novos procedimentos de remoção, imponham vários tipos de identificação de todos os seus usuários e aumentem significativamente a quantidade de informações que eles coletam e armazenam de e sobre seus usuários. Eles também precisam garantir que todas essas informações possam ser acessadas diretamente pela equipe no Brasil, para que sejam disponibilizadas direta e imediatamente ao governo - ignorando as fortes salvaguardas aos direitos dos usuários dos mecanismos internacionais existentes, como os Tratados de Assistência Jurídica Mútua.

Essa lei está se movendo rapidamente e chega em um momento muito ruim. No momento, as tecnologias de comunicação segura são mais importantes do que nunca para lidar com a pandemia do COVID-19, para colaborar e trabalhar com segurança e para protestar ou organizar online. Também é realmente importante que as pessoas possam ter conversas privadas, incluindo conversas políticas privadas. Há muitas coisas erradas nessa conta, muito mais do que poderíamos caber em um artigo. Por enquanto, aprofundaremos cinco falhas graves no projeto de lei que prejudicariam a privacidade, a expressão e a segurança.

Falha 1: forçando as empresas de mídia social e mensagens privadas a coletar a identificação legal de todos os usuários

O novo rascunho do artigo 7 é desajeitado e contraditório. Primeiro, a fatura (artigo 7, parágrafo 3) exige redes sociais grandes e aplicativos de mensagens privadas (que oferecem serviço no Brasil a mais de dois milhões de usuários) para identificar cada usuário de uma conta solicitando seus cartões de identidade nacionais. É um requisito retroativo e geral, o que significa que a identificação deve ser solicitada para todo e qualquer usuário existente. A disposição principal do Artigo 7 não se limita à identificação de um usuário por ordem judicial, incluindo também quando houver uma reclamação sobre a atividade de uma conta ou quando a empresa se sentir insegura quanto à identidade do usuário. Embora os usuários tenham permissão explícita de usar pseudônimos, eles não podem manter suas identidades legais em sigilo junto ao provedor de serviços.a priori . Na Índia, uma proposta semelhante deve ser divulgada pelo Ministério de TI do país, embora os relatórios indiquem que a verificação de identificação seria opcional.

Em 2003, o Brasil tornou obrigatório o registro do cartão SIM para telefones celulares pré-pagos, exigindo que os assinantes pré-pagos apresentassem uma prova de identidade, como carteira de identidade nacional oficial, carteira de motorista ou número de contribuinte. O artigo 39 do novo projeto expande essa lei criando novos requisitos de identificação obrigatórios para a obtenção de cartões SIM de telefone, e o artigo 8 exige explicitamente que aplicativos de mensagens privadas que identificam seus usuários por meio de um número de telefone associado excluam contas sempre que o número de telefone subjacente for cancelado o registro. As operadoras de telefonia são necessárias para ajudar nesse processo, fornecendo uma lista de números que não são mais usados ​​pelo assinante original. O registro do cartão SIM compromete a capacidade das pessoas de se comunicar, organizar e associar-se a outras pessoas anonimamente.  David Kaye, Relator Especial das Nações Unidas para a Liberdade de Expressão e Opinião , pediu aos Estados que evitem tornar a identificação de usuários uma condição para o acesso a comunicações digitais e serviços on-line e que exijam o registro do cartão SIM para usuários móveis;

Mesmo que o rascunho elimine o artigo 7, o rascunho permanece perigoso para a liberdade de expressão, porque as autoridades ainda poderão identificar usuários de serviços de mensagens particulares vinculando um número de telefone celular a uma conta. As autoridades brasileiras terão que desmascarar a identidade do usuário da Internet seguindo procedimentos domésticos para acessar esses dados do provedor de telecomunicações.

Os usuários da Internet serão obrigados a entregar informações de identificação para grandes empresas de tecnologia se o Artigo 7 for aprovado como está atualmente escrito, com ou sem o parágrafo 3. A provisão obrigatória de identificação é uma violação flagrante dos direitos de pessoas físicas devido ao devido processo legal. Países como China e Coréia do Sul determinaram que os usuários registrassem seus nomes reais e números de identificação com os provedores de serviços on-line. A Coréia do Sul costumava exigir sites com mais de 100.000 visitantes por dia para autenticar suas identidades digitando seus números de identificação de residentes quando usam portais ou outros sites. Mas a Suprema Corte da Coréia do Sul revogou a lei é inconstitucional, afirmando que "o sistema de [identificação obrigatória] não parece ter sido benéfico para o público. Apesar da aplicação do sistema, o número de postagens ilegais ou maliciosas on-line não diminuiu".

Falha 2: forçando as empresas de mídia social e de mensagens privadas a rastrear e manter registros imensos de comunicações do usuário  

Man: O que aconteceu? Policial: você compartilhou a mensagem que viralizou acusando alguém de um esquema de corrupção. Eles estão dizendo que é mentira e é calúnia. Texto descritivo: é fácil imaginar como a nova regra de rastreabilidade poderia ser abusada e nos deixou com medo de compartilhar conteúdo online. Não podemos deixar isso acontecer.

O Artigo 10 obriga as redes sociais e os aplicativos de mensagens privadas a manterem a cadeia de todas as comunicações que foram "encaminhadas em massa", para fins de investigação ou processo criminal potencial. O novo rascunho requer três meses de armazenamento de dados de toda a cadeia de comunicação para essas mensagens, incluindo data e hora do encaminhamento, e o número total de usuários que recebem a mensagem. Essas obrigações estão condicionadas aos limites de viralidade e se aplicam quando uma instância de uma mensagem foi encaminhada a grupos ou listas por mais de 5 usuários em 15 dias, em que o conteúdo de uma mensagem atingiu 1.000 ou mais usuários. Aparentemente, espera-se que o provedor de serviços retenha temporariamente esses dados para todosmensagens encaminhadas durante o período de 15 dias, a fim de determinar se o limite de viralidade para "encaminhamento massivo" será ou não atingido. Esta disposição viola flagrantemente os direitos do devido processo legal, obrigando os provedores a manter a comunicação de todos antes que alguém cometa qualquer ofensa definida legalmente. 

Também houve mudanças significativas na maneira como esse texto interage com a criptografia e com os esforços dos provedores de comunicação para saber menos sobre o que seus usuários estão fazendo . Esta provisão pode criar um incentivo para enfraquecer a criptografia de ponta a ponta, porque os serviços criptografados de ponta a ponta podem não estar em conformidade com as disposições que exigem que eles reconheçam quando uma determinada mensagem foi encaminhada independentemente um certo número de vezes sem prejudicar a segurança de sua criptografia. 

Embora o rascunho atual (diferente das versões anteriores) não crie novos crimes, ele exige que os provedores rastreiem mensagens antes que qualquer crime seja cometido, para que as informações possam ser usadas no futuro no contexto de uma investigação criminal ou processo por crimes específicos definidos em artigos 138 a 140 ou artigo 147 do Código Penal do Brasil , como difamação, ameaças e calúnia . Isso significa, por exemplo, que se você compartilhar uma mensagem que denuncie a corrupção de uma autoridade local e ela seja encaminhada mais de 1.000 vezes, as autoridades poderão acusá-lo criminalmente de calúnia contra sua autoridade local. 

As empresas devem limitar a retenção de dados pessoais ao razoavelmente necessário, proporcional a determinados fins comerciais legítimos. Isso é “ minimização de dados ” , ou seja, o princípio de que qualquer empresa deve minimizar o processamento de dados do consumidor. A minimização é uma ferramenta importante na caixa de ferramentas de proteção de dados. Esse projeto vai contra isso, favorecendo práticas perigosas de coleta de big data.

Falha 3: Proibindo as empresas de mensagens de permitir grupos de transmissão, mesmo que os usuários se inscrevam

Os artigos 9 e 11 exigem que os tamanhos dos grupos de transmissão e discussão nas ferramentas de mensagens privadas tenham um limite máximo de membros (algo que o WhatsApp faz hoje, mas que nem todas as ferramentas de comunicação necessariamente fazem ou farão), e que a capacidade de atingir o público em massa via privado as plataformas de mensagens devem ser estritamente limitadas e controladas, mesmo quando o público aceita. A visão do projeto parece ser que a discussão em massa e a transmissão em massa são inerentemente perigosas e só devem acontecer em público, e que ninguém deve criar fóruns ou mídia para essas interações acontecem de maneira verdadeiramente privada, mesmo com o consentimento claro e explícito dos participantes ou destinatários.

Suponha que uma organização como uma ONG, um sindicato ou um partido político deseje ter um fórum de discussão entre todos os membros ou enviar seu boletim a todos os membros que escolheram recebê-lo. Não seria permitido fazer isso por meio de uma ferramenta semelhante ao WhatsApp - pelo menos uma vez que algum limite de tamanho de audiência (não especificado) fosse atingido. De acordo com os artigos 9 e 11, a organização teria que usar outra plataforma (não uma ferramenta de mensagens privada) e, portanto, o conteúdo ficaria visível e sujeito ao controle de seu operador.

Falha 4: forçando as empresas de mídia social e de mensagens a disponibilizar remotamente os registros de usuários particulares

O Artigo 37 obriga grandes redes sociais e aplicativos de mensagens privadas a nomear representantes legais no Brasil. Também obriga essas empresas a fornecer acesso remoto a seus bancos de dados e registros de usuários para seus funcionários no Brasil, para que os funcionários locais possam ser diretamente forçados a entregá-los. 

Isso prejudica a segurança e a privacidade do usuário. Aumenta o número de funcionários (e dispositivos) que podem acessar dados confidenciais e reduz a capacidade da empresa de controlar vulnerabilidades e acesso não autorizado, principalmente porque é em escala global e, caso seja adotado no Brasil, pode ser replicado por outros países . Cada nova pessoa e cada novo dispositivo adiciona um novo risco à segurança. 

Falha 5: Sem Limitações na Aplicação desta Lei a Usuários Fora do Brasil 

Os parágrafos 1 e 2 do artigo 1 fornecem algumas exclusões jurisdicionais, mas todas são aplicadas no nível da empresa - ou seja, uma empresa estrangeira pode ser isenta se for pequena (menos de 2.000.000 de usuários) ou não oferecer serviços ao Brasil. Nenhuma dessas limitações, no entanto, está relacionada à nacionalidade ou localização dos usuários . Assim, a lei, em seus termos, exige que a empresa crie certas políticas e procedimentos sobre remoção de conteúdo, identificação obrigatória de usuários e outros tópicos, que não são de forma alguma limitados a pessoas com sede no Brasil. Mesmo que a intenção seja apenas forçar a coleta de documentos de identificação de usuários com sede no Brasil, a lei não diz isso.

Abordar “notícias falsas” sem comprometer os direitos humanos

Existem muitas novas respostas inovadoras sendo desenvolvidas para ajudar a reduzir os abusos de aplicativos de mensagens e mídias sociais, tanto por meio de respostas políticas quanto de soluções técnicas. O WhatsApp, por exemplo, já limita o número de destinatários de uma única mensagem encaminhada por vez e mostra aos usuários que as mensagens foram encaminhadas, as mensagens virais são rotuladas com setas duplaspara indicar que eles não se originaram de um contato próximo. No entanto, o desligamento de maus atores não pode custar o silenciamento de milhões de outros usuários, a invasão de sua privacidade ou a sua segurança. Para garantir a preservação dos direitos humanos, o legislador brasileiro deve rejeitar a versão atual deste projeto. No futuro, direitos humanos como privacidade, expressão e segurança devem ser incorporados à lei desde o início.