Como os EUA podem acabar com a privacidade na internet

A posição do presidente Obama se alinha com a Fundação Fronteira Eletrônica (EFF) e o Centro pela Democracia e Tecnologia (CDT), entre outros, que defendem que a proposta é de fato um “novo Sopa”, em referência ao projeto de lei antipirataria retirado de pauta no início do ano. Mas o Cispa também tem apoiadores de peso, entre os quais empresas como Facebook e Microsoft.

Apesar da resistência em relação ao compartilhamento de informações dos usuários da internet, o Cispa ultrapassou o seu primeiro obstáculo legislativo. Mas a batalha sobre a criticada lei vai começar a esquentar. O projeto, que foi originalmente concebido para permitir maior compartilhamento de informações com agências governamentais, recebeu 248 votos em seu favor (e 168 contra) na Câmara dos Deputados dos Estados Unidos.

A proposta tem atraído a ira de legisladores, grupos de liberdades civis, profissionais de segurança e professores, e centenas de milhares de manifestantes, que dizem que a lei atropela direitos de privacidade dos usuários já garantidos em outras leis, pois permite que as empresas da web, como Google e Facebook, repassem a agências do governo informações privadas. “É basicamente um pesadelo”, declarou Trevor Timm, um advogado e ativista da Electronic Frontier Foundation. “O Cispa permitirá às empresas entregar dados confidenciais para o governo sem um mandado, sem anonimato, sem revisão judicial.”

Antes de ser aprovada a proposta, a Câmara decidiu alterá-la para permitir que informações do setor privado possam ser compartilhados com órgãos governamentais não só em questões de segurança cibernética ou segurança nacional, mas também para “crimes”, “proteção de pessoas do perigo de morte ou graves lesões corporais” e casos que envolvam a proteção de menores contra exploração. A crítica é que esses termos são muito vagos.

A Casa Branca reagiu à votação com uma declaração contrária ao Cispa, sob forma de ameaça de veto, sustentando que “a segurança cibernética e de privacidade não são mutuamente exclusivas” e denominado o Cispa como um projeto de lei de inteligência, em vez de ser uma proposta que defenda a segurança civil como sujeito de vigilância.

Por estes motivos é que ainda é cedo para ter certeza qual será o destino do Cispa após a aprovação do projeto na Câmara dos Deputados, já que ainda precisa passar pelo Senado e pelo Casa Branca.

Uma definição da proposta
O Cispa representa o compartilhamento de informações privadas de usuários na internet, um projeto de lei escrito pelos deputados republicano Mike Rogers (R-MI) e o democrata Dutch Ruppersberger (D-MD) que recebeu a denominação de HR 3523. O projeto pretende permitir que as empresas e o governo federal dos Estados Unidos possam compartilhar informações de pessoas ou empresas para prevenir ou defender de ataques cibernéticos. No entanto, a lei autoriza expressamente o monitoramento de comunicações particulares, e foi escrito de forma tão abrangente, que permite às empresas a entregar grandes áreas de informação pessoal para o governo sem a autorização judicial, o que abre uma brecha para burlar todas as leis de privacidade em vigor no país.

Se o Cispa for aprovado, uma empresa privada pode ler meus e-mails?
Sim. Sob o Cispa, qualquer empresa pode “utilizar sistemas de cibersegurança para identificar e obter informações sobre a ameaça cibernética para proteger os direitos e a propriedade” da empresa. Esta frase está sendo interpretada no sentido de monitorar as suas comunicações, inclusive os conteúdos das mensagens de e-mail ou privados no Facebook. Em outras palavras, se você mantém uma conta de e-mail ou de armazenamento de arquivos em uma empresa que hospeda estes dados nos Estados Unidos, você poderá estar sujeito a este repasse de dados sem autorização judicial nas circunstâncias já mencionadas.

É bom registrar que as leis norte-americanas que já tratam do tema, como a Lei Wiretap e a Electronic Communications Privacy Act, impedem as empresas de sistematicamente terem acesso a suas comunicações privadas. De acordo com essas leis, é obrigatória a proposição de ações judiciais contra empresas para quebra de sigilo de dados. O Cispa torna desnecessária a decisão judicial, e destrói a proteção assegurada pela legislação pré-existente ao preceituar “não obstante qualquer outra lei” e criando uma ampla imunidade para as empresas contra civis e responsabilidade penal. Isso significa que as empresas podem ignorar todas as leis existentes, desde que reivindiquem um propósito de “cibersegurança”.

O que permitiria uma empresa de ler meus e-mails?
O Cispa adota um conceito amplo de “informações sobre a ameaça cibernética”. O projeto não é específico, mas as definições constantes nos dois projetos de lei do Senado fornecem pistas sobre o que essas atividades poderiam ser. Algumas práticas de privacidade básicas já utilizadas para propiciar o uso da internet de maneira anônima como o Tor Project ou até mesmo criptografia de e-mails poderiam ser considerados como um indicador de “ameaça”. As definições ambíguas e vagas do Cispa implicam muito mais do que os especialistas em segurança consideram como razoável para considerar a possibilidade de ser ameaça cibernética em decorrência de indicadores sobre outras vulnerabilidades, como varreduras de portas e tráfego de DDoS.

Alguns exemplos práticos sobre os conceitos que validam a quebra do sigilo de dados proposta pelo Cispa, ou seja, o que poderia ser considerado como “propósito cibernético” ou “indicador cibernético de ameaça à segurança” podem ser ilustrados abaixo:

Se o Cispa for aprovado, uma empresa poderá repassar os dados das minhas comunicações para o governo sem um mandado judicial?
Sim. Depois de coletar os dados das suas comunicações, as empresas podem, em seguida, entregá-las voluntariamente ao governo sem autorização judicial, desde que tais dados possam ser considerados pelo governo como “informações sobre a ameaça cibernética”. Uma vez que o governo detenha as suas comunicações, poderá lê-las também.

Se o Cispa for aprovado, o que posso fazer se uma empresa indevidamente repassa minhas informações privadas para o governo?
Quase nada. O Cispa impede que os usuários possam processar uma empresa pelo fato de entregar suas informações privadas para o governo em praticamente todos os casos. No texto do projeto há um dispositivo que dá poderes de ampla imunidade para que empresas possam monitorar o usuário e repassá-las ao governo norte americano nos seguintes casos:
(I) intencionalmente para alcançar um propósito ilícito;
(II) conscientemente, sem justificativa legal ou factual;
(III) em desrespeito de um risco conhecido.

Como se vê, a versão mais atual do Cispa assegura imunidade às empresas que vazem os dados pessoais para o governo, amparado num conceito vago caso ajam de “boa-fé”. Além de ser um texto ambíguo, deixa os usuários vulneráveis sem o recurso de controle de proteção de privacidade em vários casos.

O que as agências governamentais norte-americanas podem fazer para zelar pela informação privada?
Se o Cispa for aprovado, as empresas podem entregar “informações sobre a ameaça cibernética” para qualquer agência do governo, que então passa essa informação para o Departamento de Segurança Interna (DHS). Uma vez que está em mãos do DHS, o projeto de lei preceitua que este departamento pode entregar as informações para outras agências de inteligência, incluindo a Agência de Segurança Nacional, a seu critério.

O governo norte-americano pode usar minhas informações privadas para outros fins além de “cibersegurança”, uma vez que eles a detém?
Sim. Quando o projeto foi originalmente elaborado, a informação poderia ser usada para todos os fins de aplicação da lei além de “fins de regulamentação.” A nova emenda reduz esse risco ligeiramente. Agora, mesmo que a informação tenha sido repassada ao governo para a cibersegurança para fins determinados, este poderá utilizar a sua informação pessoal sob pretexto de risco da cibersegurança ou para fins de investigações de segurança nacional.E, desde que ele pode ser utilizado para um desses propósitos, ele pode ser usado para qualquer outra finalidade também.

O governo norte-americano pode usar a minha informação confidencial para ir atrás de supostos infratores de copyright e sites de denúncia?
Até a votação na Câmara dos Deputados, a resposta foi sim, e agora mudou para talvez. Em resposta ao protesto esmagadora da comunidade da internet que esta lei se tornaria uma vulnerabilidade, os autores propuseram um projeto de lei que livra o projeto de lei de qualquer referência à “propriedade intelectual”.

O projeto de lei previamente propõe a definição de conceitos como “inteligência ameaça cibernética” e “propósito cibernético” para incluir no texto os termos “furto ou apropriação indevida de informações privadas ou governamentais, propriedade intelectual, ou informações de identificação pessoal”. Estes dispositivos autorizam acesso não autorizado a um sistema ou rede, incluindo meios para dar acesso não-autorizado para furtar ou apropriar-se indevidamente de informações privadas ou do governo.

O que posso fazer para impedir o governo de abusar minha informação é privada?
Se o Cispa for aprovado, poderá permitir que os usuários processem o governo norte-americano se intencionalmente ou propositadamente usar as suas informações privadas para outros fins, que não aqueles que estejam previstos na lei. Mas operacionalmente esta medida não será fácil. Por exemplo, o prazo de prescrição para propor esta ação será de dois anos a contar da data da violação real. Não é de todo claro como uma pessoa poderia saber de tais abusos, se os dados estiverem sido monitorados e preservados pelo governo norte-americano. Além disso, esta é uma causa cara, difícil e demorada.

A exemplo disto, a Eletronic Frontier Foundation (EFF) está envolvida há anos em uma ação discutindo a aplicação da Quarta Emenda da Constituição Norte-Americana e as violações legais decorrentes de escutas telefônicas ilegais gerido pela National Security Agency (NSA), um destinatário provável dos dados coletados sob o pretexto de “informações sobre a ameaça cibernética”. Depois deseis anos de litígio, o governo continua a sustentar que existem “segredos de Estado” envolvidos que impedem o trâmite regular da ação.

Uma vez que o Department of Homeland Security (DHS) tem uma atuação notória para coletar e classificar grandes volumes de dados, este órgão tem infraestrutura suficiente para impedir que os usuários que tenham os seus dados repassados ao governo possam efetivamente descobrir como essa informação tenha sido usada. E se estas informações estiverem nas mãos da NSA, este órgão poderá alegar a incidência de “segurança nacional” para tornar ainda mais difícil a apuração sobre a violação de privacidade.

Além disso, a Cispa prevê a outorga poderes para um Inspetor Geral emitir um relatório ao Congresso, sem o crivo do Judiciário, sobre o uso do governo norte-americano destas informações. Estas recomendações não terão efeito de obrigar ao governo adotar estas medidas.

Por que as empresas como o Facebook e outras apoiam esta legislação?
O Facebook e outras empresas aprovam essa legislação porque eles querem ser capazes de coletar informações sobre ameaças de segurança de rede do governo. O que parece ser um objetivo de boa-fé, na prática com a aprovação do Cispa, fará com que estas empresas tenham um papel muito mais abrangente no trato destas informações. Esta possível permissão legal conferirá mais liberdades para estas empresas monitorarem os dados de seus usuários, mitigando os direitos de proteção da privacidade autorizando inclusive que estas empresas voluntariamente possam compartilhar suas informações com o governo.

Segundo a EFF, o objetivo do Facebook é ceder informações sobre os usuários sobre ameaças de cibersegurança ao governo norte-americano, não necessitando de qualquer das disposições Cispa, que permitirão às empresas rotineiramente monitorar as comunicações privadas e compartilhar dados pessoais do usuário coletada daquelas comunicações com o governo.