Portaria 351 e os deveres das plataformas em relação a apologia à violência

Eventos como o ocorrido no dia 8 de janeiro de 2023, em Brasília, e no dia 5 de abril na creche particular Cantinho Bom Pastor, em Blumenau (SC), têm chamado atenção para consequências negativas dos serviços fornecidos por plataformas digitais.

Tentando lidar com elas, e pressionado pela sociedade civil, autoridades têm apresentado tentativas de soluções e mitigações do problema: a Diretiva 790/2019 da União Europeia exige que as plataformas removam conteúdos que violam direitos autorais; o Digital Services Act, DSA, que será diretamente aplicável em toda a União Europeia a partir de 2024, estabelece uma série de obrigações às plataformas digitais relacionadas à moderação de conteúdo; o Japão aprovou uma regulação exigindo uma série de condutas por parte das plataformas, o Act on Improving Transparency and Fairness of Digital Platforms (TFDPA); a principal legislação americana, a Seção 230 do Communications Decency Act, que imuniza as plataformas digitais de realizarem moderação e que só as considera como responsáveis por conteúdo inadequado vindo de terceiros/usuários quando tiverem ciência está sob questionamento na Suprema Corte Americana (caso Gonzalez v. Google LLC e o caso Twitter, Inc. v. Taamneh).

No caso brasileiro, a medida mais recente, publicada no dia 12/4/2023, é a Portaria nº 351/2023 [1], do Ministério da Justiça, que trata sobre medidas administrativas a serem adotadas no âmbito do Ministério da Justiça e Segurança Pública, para fins de prevenção à disseminação de conteúdos flagrantemente ilícitos, prejudiciais ou danosos por plataformas de redes sociais, em especial, a conteúdos que incentivem ataques contra ambiente escolar ou façam apologia e incitação a esses crimes ou a seus perpetradores.

A Portaria aborda vários aspectos relacionados às plataformas de rede social e aos consumidores. A Secretaria Nacional do Consumidor (Senacon) tem o poder de instaurar processo administrativo contra as plataformas por violação do dever de proteger os consumidores em relação a conteúdos ilegais. As plataformas devem fornecer relatórios das ações tomadas para monitorar, limitar e restringir conteúdos que envolvem violência e atentados contra escolas. Além disso, a Senacon pode requisitar medidas de avaliação e mitigação de riscos sistêmicos e relatórios de riscos sistêmicos. A Secretaria Nacional de Segurança Pública (Senasp) pode compartilhar dados para identificar usuários ou terminais de conexão à internet que geraram conteúdo ilícito, e a Senasp pode estabelecer um banco de dados com conteúdos ilegais para compartilhamento entre as plataformas. Em casos extremos e excepcionais, o Ministério da Justiça pode criar protocolos de crise que as plataformas devem seguir. Por fim, as plataformas devem indicar um representante responsável pela comunicação direta com as autoridades dos entes federativos.

Em síntese, pode-se dizer que a Portaria nº 351 não concede às autoridades executivas (Ministério da Justiça, Senacon, Senasp) o poder de regular as plataformas de redes sociais, mas obriga que tais plataformas realizem a moderação de conteúdos específicos (conteúdos que incentivem ataques a ambiente escolar ou façam apologia e incitação) e atribui às autoridades o dever de fiscalizar tal moderação.

Tal obrigação de monitoramento exigida das plataformas de redes foge ao seu regime geral de imunidade, que é previsto, por exemplo: no Brasil no artigo 19 do Marco Civil da Internet, que prevê que somente há responsabilidade civil do provedor de aplicação após descumprir ordem judicial que exija a restrição de conteúdo; na Seção 230 do Communications Decency Act dos Estados Unidos, que imuniza os provedores de serem responsáveis pelo monitoramento de conteúdo de terceiros e, ao mesmo tempo, autoriza eles a realizaram a moderação; na União Europeia, segundo o item 1 do artigo 4º do DSA, entre outros.

O regime de imunidade (a ausência de um dever de monitoramento) tem sofrido alterações, tais como a Diretiva 790/2019 da União Europeia, que trata de direitos autorais e conexos no mercado digital, e que determinou em seu artigo 17 o dever de monitoramento por parte das plataformas em relação aos conteúdos protegidos por direitos autorais. No Estados Unidos, a decisão do caso Gonzalez v. Google LLC (semelhante a Twitter, Inc. v. Taamneh), que aguarda julgamento da Suprema Corte Americana, pode alterar o regime de imunidade naquele país. Nohemi Gonzalez, cidadã americana, foi assassinada num ataque terrorista em Paris em 2015, ataque assumido pelo Estado Islâmico, e o pai de Gonzalez ajuizou uma ação contra a Google, Twitter e Facebook, sob o argumento de tais plataformas promovem o terrorismo: primeiro, em relação ao Google, por permitir o uso de sua plataforma YouTube para que o Estado Islâmico realize suas atividades (recrutamento, planejamento, ameaças, intimidação etc.), especialmente se considerando os algoritmos que sugerem conteúdo; em segundo lugar, em relação a todas as plataformas acima mencionadas, por falharem ao adotar medidas eficientes para não serem utilizadas por organizações terroristas.

Também em relação aos conteúdos violentos, o DSA prevê obrigações de monitoramento específicas para as grandes plataformas (número médio mensal de destinatários ativos do serviço na União igual ou superior a 45 milhões), que basicamente exigem análise de risco e medidas de atenuação de riscos relacionados à violência, entre outros; a Portaria não faz essa limitação, em tese, todas as plataformas de redes sociais devem cumprir tal dever.

Além da diferença em relação a quais plataformas estão obrigadas ou não a fornecer relatórios de riscos e tomar medidas específicas de mitigação, há outras diferenças entre a Portaria nº 351 e o DSA. Em primeiro lugar, quanto à regularidade dos relatórios, a portaria prevê que poderá ser requisitado por parte da autoridade administrativa, mediante processo administrativo, mas não estabelece a regularidade mínima ou máxima, ou em quais hipóteses isso poderá ser exigido (artigo 4º); diferentemente, o DSA prevê que as avaliações de riscos devem ser feitas com uma certa regularidade, além de serem exigidas quando da introdução de novas funcionalidades (artigo 34). Em segundo lugar, a portaria prevê riscos específicos, como acesso a conteúdo inapropriado por parte de crianças e adolescentes, propagação e viralização e apologia a conteúdos que estimulem ataques a ambientes escolares ou aos seus perpetradores; e o DSA prevê uma lista de riscos sistêmicos mais ampla, que vai desde a difusão de conteúdos ilegais ao respeito a direitos fundamentais, processo eleitoral, violência de gênero, saúde infantil etc. Em terceiro lugar, a portaria praticamente repete o DSA (inclusive na redação), mas não trata expressamente como fator de risco a seleção e exibição de anúncios publicitários nem as práticas com dados; e o DSA prevê uma lista de fatores de aumento de riscos que é mais ampla, incluindo a concepção dos sistemas de recomendação, a moderação, os termos de uso, a seleção e exibição de anúncios publicitários, as práticas com os dados, a manipulação intencional do serviço.

Um ponto sensível, mesmo para as plataformas que pretendem respeitar a portaria, é a falta de detalhes sobre tais relatórios de risco. Como a portaria apenas menciona os riscos e os vetores, a avaliação da construção de tal relatório e das medidas suficientes para mitigar riscos fica muito sujeita à avaliação quase que discricionária da autoridade administrativa. A chance de o relatório não ser considerado adequadamente elaborado ou de as medidas de mitigação não serem consideradas suficientes fica em aberto com tão poucos detalhes e especificações por parte da portaria.

Além disso, a possibilidade de a autoridade administrativa exigir informações que envolvem segredo negocial e que não precisariam ou não poderiam ser compartilhadas é real, tendo em vista que a falta de parâmetros deixa em aberto os limites do que pode ser exigido e do que não pode ser exigido. Ressalte-se que o ordenamento jurídico brasileiro prevê exigências de relatórios similares em relação a atividades potencialmente danosas de interesse público: Estudo de Impacto Ambiental e Relatório de Impacto Ambiental (Constituição, Lei n° 6.938 e Resolução Conama nº 01/86), Estudo de Impacto de Vizinhança (Lei Federal 10.257), Plano de Gerenciamento de Resíduos Sólidos (Lei nº 12.305), Plano de Gerenciamento de Riscos (Lei nº 9.966), entre outros. A experiência administrativa e jurisprudencial em relação ao conteúdo e às ações baseadas nestes documentos deve ser utilizada como fonte, entretanto, a atividade das plataformas ainda é pouco conhecida e tem muitas peculiaridades, o que reforça o aspecto de insegurança em relação as avalições por parte das autoridades.

Outro ponto sensível da portaria é a exigência de compartilhamento, por parte das plataformas, de dados que permitam identificar o usuário ou do IP de quem disponibilizou o conteúdo (artigo 5º). Quando se trata de apologia de ataques a escolas e seus alunos, os dados de usuário e do IP de quem disponibilizou o conteúdo não estão sujeitos ao regime da Lei Geral de Proteção de Dados, por serem relacionados à segurança pública e a atividades de investigação e repressão de infrações penais (artigo 4º, III da LGPD). Outra fonte legal que trata da questão, o Marco Civil da Internet exige que o fornecimento de informações de conexão e de acesso a aplicações se dê por ordem judicial, mas permite a requisição de dados de forma direta, como qualificação pessoal, filiação e endereço, nos termos da lei (artigo 10 do Marco Civil). Na mesma linha, a Lei nº 12.850, Lei de Organizações Criminosas, em seu artigo 15, prevê a possibilidade de requisição de algumas informações (qualificação pessoal, a filiação e o endereço), independentemente de autorização judicial. A Lei nº 12.830 concede poder aos delegados para requisitarem informações (artigo 2º §2º).

Em relação à solicitação de dados de registro, tal como o endereço, alguns aspectos normativos são importantes: em primeiro lugar, recentemente foi publicada (13 de abril de 2023) a Convenção sobre o Crime Cibernético, firmada em Budapeste, que estabelece em seu artigo 18 a obrigação de os Estados partes concederem poderes às suas autoridades competentes para requisitarem dados e informações cadastrais envolvendo crimes cibernéticos, mediante o respeito a procedimentos predeterminados (artigo 14) e com respeito aos direitos e garantias humanos e fundamentais (artigo 15). Ou seja, cabe aos Estados-partes darem instrumentos às suas autoridades para requisitarem informações envolvendo crimes cibernéticos, desde que se respeitem regras processuais e direitos fundamentais.

Em segundo lugar, como reforço da importância de tal obrigação geral do estado brasileiro, há também o dever de cuidado em relação às crianças: o Superior Tribunal de Justiça (STJ) estabeleceu uma redução do âmbito de aplicação do artigo 19 do Marco Civil da Internet com base no princípio da Proteção Integral, ao entender que o provedor de aplicação pode ser responsabilizado civilmente quando deixar de adotar providências para minimizar danos a crianças, desde que notificado (mesmo que de forma extrajudicial) (Recurso Especial nº 1.783.269). Tal decisão parece considerar que há deveres específicos por parte das plataformas quando se considera o potencial de se gerar danos às crianças.

Em terceiro lugar, a tendência é que se trate como indevidas as solicitações generalizadas, genéricas, indeterminadas. Neste sentido, recente decisão do STJ, proferida no Agravo Regimental no Recurso em Mandado de Segurança nº 68.119, em 2022, considerou que a requisição de dados de um número de pessoas indeterminadas, mesmo que derivada de ordem judicial, não é permitida, especialmente se possibilitar a violação da intimidade e da vida privada de pessoas não investigadas.

Em síntese: é obrigação internacional assumida pelo Estado brasileiro de fornecer instrumentos às suas autoridades para prevenir e punir crimes cibernéticos; a proteção de crianças é um valor muito forte, que tende a se sobrepor a outros vetores quando a aplicação do direito em relação às plataformas; e a portaria não pode ser utilizada para se solicitar dados de um número indeterminado de pessoas.

Outro ponto sensível da portaria é o dever de criação de bancos de dados com conteúdos ilegais para fins de compartilhamentos entre as plataformas (artigo 6º). Há vários aspectos que geram tensão: como esses dados serão processados (qual é o critério para identificar que um conteúdo é ilegal ou não); quais são os dados que comporão o banco.

Em relação aos primeiros, a seleção de quais são conteúdos são ilegais e quais não são é uma decisão que pode ser tanto de um operador manual quanto de uma inteligência artificial. Independentemente do tipo de operador, como toda e qualquer seleção, há sempre o risco de a seleção ser sobre ou subinclusiva, ou seja, de ela incluir conteúdos que não deveriam ser incluídos, ou de deixar de incluir conteúdos que deveriam ser incluídos [2]. Uma mesma foto, com uma criança com o rosto apagado, demonstrando medo de algum tipo de ameaça violenta pode ser uma violação da imagem dessa criança, uma apologia de um ataque a escolas, ou até mesmo uma crítica ou denúncia feita com o objetivo reduzir a violência e os ataques a escolas. Um bom exemplo dos possíveis erros relacionados à seleção de quais conteúdos são ou não ilegais seria o exemplo que Tarleton Gillespie [3] fornece: "Napalm Girl" é o nome de uma foto que foi vencedora do Prêmio Pulitizer em 1972, por mostrar os horrores da guerra do Vietnã, e que retratava um conjunto de crianças correndo seminuas numa rua, fugindo de um ataque de Napalm. Um jornalista publicou a foto em 2016 e a publicação foi excluída pelo Facebook, por violar termos de uso. A imagem forte envolve o sofrimento e nudez infantil, mas ela não é apologia a tais violações; pelo contrário, é uma foto histórica que denuncia os horrores da guerra. Em síntese, a diferenciação entre conteúdo legal ou ilegal é muito controversa, e o enquadramento como um como outro é difícil em muitos casos. Se uma publicação como essa passar a fazer parte do banco de dados, a denúncia dos horrores da guerra nesse caso seria indevidamente restringida.

Um outro problema é o tipo de dado que será armazenado nesse banco, que pode ser de qualquer natureza. É que a portaria, em seu artigo 6º, §1º, permite o armazenamento de imagens e links e outros conteúdos ilegais: a expressão "outros conteúdos ilegais" permite que praticamente qualquer informação seja armazenada em tal banco de dados, pois o critério para ser incluído no banco de dados é ser ou não ilegal, independentemente do tipo de dado. Tendo em vista que atribuir a qualificação de ilegal ou legal a um conteúdo publicado é uma atividade controversa, praticamente todo e qualquer dado é passível de ser incorporado ao banco.

Em síntese: a proteção de crianças, especialmente em relação à violência em escolas, é um problema que deve ser tratado inclusive no ambiente digital. A Portaria nº 351 se dirige a tratar de tal problema, mas ela toca em vários pontos sensíveis, que merecem maior consideração e debate.