Para muitos de nós, rotinas de trabalho, estudo e outras tantas foram transferidas quase que exclusivamente para a internet de forma abrupta, como efeito da Covid-19 e a consequente implementação do isolamento social e de medidas de confinamento.
Não que as tecnologias de informação e a própria internet já não estivessem bastante presentes em nosso cotidiano, porém, de um momento a outro, tornaram-se quase que a única maneira de continuarmos desempenhando boa parte de nossas atividades e de mantermos, ao menos em algum nível, as nossas interações sociais.
A existência de uma internet aberta e em escala global é o elemento fundamental que torna possível a existência dos aplicativos e ferramentas que são recursos ainda mais importantes em uma situação de isolamento social como a atual.
Esta abertura da rede, no entanto, requer que elementos de segurança e controle sejam implementados nas ferramentas que trabalham com informações pessoais para que seja possível emular ou oferecer até mais segurança no ambiente online que comunicações e transações oferecem fora do mundo virtual.
No cenário atual, ferramentas tecnológicas passaram a ser janelas quase que exclusivas para o mundo exterior, desde redes sociais a aplicativos de mensageria, passado por tantas outras.
Para que a sua utilização seja viável, elas devem proporcionar segurança e devem ser confiáveis. Esta é uma necessidade mais do que nunca visível: consultas de telemedicina, audiências judiciais ou mesmo a prestação de serviços públicos – vide os canais criados pelo Ministério da Saúde para combater fake news sobre saúde e para prestar esclarecimentos sobre a Covid-19 – são hoje habitualmente realizados através de aplicativos de mensageria.
Não é somente a privacidade e os dados pessoais que estão em risco caso não haja segurança o suficiente nestes casos: a confiança da sociedade no inteiro sistema fica comprometida e a própria utilidade do serviço passa a ser questionada. Com o agravante de que, em plena emergência causada pela pandemia, pode não haver algo como “outra solução”.
Um traço bastante comum, senão dominante, nas implementações de segurança e privacidade na Internet é a utilização da criptografia. A criptografia possui uma longa história e se constitui basicamente na utilização de técnicas para tornar uma mensagem compreensível apenas ao seu destinatário.
Ela se desenvolveu intensamente nas últimas décadas, com o advento da computação, e hoje faz parte do núcleo duro das tecnologias capazes de tornar comunicações online seguras, de garantir a autoria e a integridade de documentos, de garantir a viabilidade e a segurança de transações bancárias e de ser o fundamento das moedas virtuais, como o bitcoin, entre muitas outras utilizações.
A criptografia, grosso modo, assemelha-se a um primus inter pares entre as tecnologias de segurança, no sentido de estar presente em parcela francamente dominante de soluções de segurança e de ser versátil a ponto de se adaptar a um sem-número de situações.
A criptografia chega mesmo a ser citada nominalmente em legislações que foram concebidas com a preocupação declarada de serem neutras quanto a preferências tecnológicas.
De fato, a criptografia tem se demonstrado de invejável resiliência, estando presente em diversas soluções tecnológicas e, em determinadas circunstâncias, apresentando-se como a única solução tecnológica capaz de responder a determinados critérios, sejam de eficiência, sejam regulatórios.
Neste particular, as implementações da chamada “criptografia ponta-a-ponta”, que permitem que comunicações sejam realizadas entre dois polos de forma ininteligível para qualquer intermediário, incluindo a própria plataforma de comunicação, despontam como capazes de proporcionar níveis de segurança dos mais fortes.
No Brasil é possível perceber como a criptografia vem sendo referida em marcos regulatórios. No Decreto 8.771/2016, que regulamenta o Marco Civil da Internet (Lei 12.965/2014) a criptografia é a única tecnologia expressamente citada, no seu artigo 13, IV, que trata das técnicas de segurança a serem adotadas por provedores.
Na Estratégia Nacional de Segurança Cibernética, implementada pelo Decreto 10222/2020, a criptografia é bastante mencionada, seja como elemento necessário para a garantia de um ambiente seguro e de confiança nas comunicações (item 2.3.3), como tecnologia a ser privilegiada no fomento de soluções inovadoras em segurança cibernética (item 2.3.7), como “matéria de extrema relevância a ser incorporada em projetos de pesquisa e de inovação em âmbito nacional” e em várias outras ocasiões.
Mesmo na Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), que não menciona textualmente a criptografia (o que eventualmente pode vir a ocorrer em um Decreto regulamentador ou em outros atos normativos), há uma forte indução ao seu emprego em determinados pontos.
Por exemplo, como quando dispõe de medidas de segurança, entre as quais a implementação de criptografia pode ser considerada como elemento a ser levado em conta para fins de conformidade; na verificação da gravidade de incidentes de segurança (art. 48, § 3º), bem como ao possibilitar que o recurso à criptografia seja avaliado como critério para a dosimetria da sanção a ser aplicada, podendo eventualmente servir para atenuá-la (art. 53, § 1º, VIII).
A criptografia, desta forma, é elemento central para que possamos desfrutar de ferramentas que, além de garantir segurança e privacidade, possibilitam a confiança na internet como meio hábil a realizar um sem-número de atividades, que passam a contar com comunicações seguras, robustecendo ulteriormente a segurança cibernética em parcela considerável dos serviços das tecnologias de comunicação e informação, favorecendo a sociedade como um todo.
A razão imediata para trazer o tema da criptografia novamente ao debate é, justamente, a iminência da decisão pelo Supremo Tribunal Federal da Arguição de Descumprimento de Preceito Fundamental 403. O processo, que juntamente com a Ação Direita de Inconstitucionalidade 5527 teve origem em ações cujo objeto foram ordens judiciais para bloqueio do aplicativo de mensageria WhatsApp em território nacional, podem ter consequências concretas para a utilização destas tecnologias no Brasil.
O aplicativo WhatsApp é um dos que se utiliza da mencionada criptografia ponta-a-ponta, cujo alto grau de segurança resulta na impossibilidade técnica de que o próprio aplicativo possa ter acesso às comunicações das quais é o intermediário, tornando impossível que se atenda a um pedido de interceptação, por exemplo.
O recurso à criptografia ponta-a-ponta permite, hoje, que se obtenha a chamada “segurança computacional”, ou seja, a garantia de que a “quebra” ou decifração de uma mensagem criptografada de forma adequada – e , consequentemente de todo o sistema estruturado em torno desta criptografia – não possa ser feito em tempo hábil ainda que todo o poder computacional existente no mundo fosse direcionado a quebrá-la.
Hoje, um tal grau de segurança é acessível e está efetivamente implementado em aplicativos de uso cotidiano, seja profissional como pessoal. E é justamente a segurança derivada destas implementações que permite que diversas atividades sejam realizadas com êxito por meio virtual, para o benefício comum, tão mais necessário no momento pelo qual passamos.
Em relação aos processos mencionados, discute-se a possibilidade de que seja franqueado a autoridades o conteúdo de comunicações criptografadas de ponta-a-ponta, por meio da modificação do aplicativo, no qual seria incluída uma vulnerabilidade.
Tal acesso, porém, não é compatível com o grau elevado de segurança computacional ao qual chegamos. Pelo contrário, conforme atestado por especialistas em vários documentos como, por exemplo, o relatório Keys under doormats, de autoria de vários dos mais reconhecidos criptólogos em atividade, qualquer modificação em um sistema criptográfico visando a proporcionar acesso para terceiros a comunicações criptografadas ponta-a-ponta irá, inexoravelmente, diminuir a segurança do sistema, configurando-se necessariamente em uma vulnerabilidade.
Assim, as várias modalidades já propostas de instalação de backdoors – porta dos fundos – em sistemas seguros de comunicação, implicariam a modificação dos sistemas criptográficos ponta-a-ponta atualmente em operação, de forma a que fiquem mais vulneráveis e incluam permissões que facilitem a quebra do sistema por pessoas não autorizadas.
Um ponto a ser considerado, especificamente, é que os efeitos de uma tal mudança não teria efeitos apenas para uma ou mais comunicações, necessariamente enfraquecendo e tornando vulnerável todo um sistema baseado em criptografia, que se torna menos seguro, confiável e, consequentemente, menos útil para todo o seu universo de usuários e os que dele dependem.
Hoje, pode-se afirmar que implementações de segurança em sistemas informáticos, como a proporcionada pela criptografia ponta-a-ponta, além de elementos técnicos, tenham relevância jurídica em si próprias.
Neste sentido, desponta uma interessantíssima decisão de 2008 da Corte Constitucional alemã, que determinou a existência de um direito fundamental à garantia da confidencialidade e da integridade dos sistemas informáticos (Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme)[1].
Este “direito fundamental informático”, como é por vezes chamado, é paradigmático ao estabelecer que a tutela da pessoa que se utiliza de um sistema informático para comunicações é proporcionada pela garantia da inviolabilidade do sistema informático em si, estando assim fundamentada a implementação das medidas de segurança necessárias para a garantia da integralidade do sistema.
Ao final de The Codebreakers, monumental obra sobre a história da criptografia, David Khan especula que “a abertura da Internet faz com que invasores cheguem com facilidade a computadores e redes e, caso estes não estejam propriamente seguros, podem ser facilmente devassados”.
Khan nota claramente como a abertura e todas as vantagens proporcionadas pela internet dependem que estas sejam acompanhadas de uma tecnologia que efetivamente feche algumas portas quando estas devem ser fechadas para que aplicações que necessitam de segurança sejam viáveis.
A criptografia, base comum de enorme parcela dos sistemas de segurança que tornam a internet e outras redes úteis, é um elemento que praticamente transcreve, em suas características técnicas, vários dos valores fundamentais de nossa ordem jurídica, entre os quais não somente a privacidade, porém igualmente a segurança e confiança sobre as quais alicerçar as ferramentas imprescindíveis para toda a sociedade.
[1] Laura Schertel Mendes, “Uso de softwares espiões pela polícia: prática legal?”, in Jota, 04/06/2005, < https://www.jota.info/opiniao-e-analise/artigos/uso-de-softwares-espioes-pela-policia-pratica-legal-04062015 >.