Audiência Pública sobre Criptografia e Bloqueios do WhatsApp: argumentos diante do STF
Por Jacqueline de Souza Abreu
Nos dias 02 e 05 de junho de 2017, aconteceu no Supremo Tribunal Federal (STF) audiência pública para discutir os objetos da ADPF 403 e da ADI 5527. A primeira, de relatoria do ministro Edson Fachin, discute a compatibilidade de ordens judiciais de bloqueio do WhatsApp com a liberdade de comunicação. A segunda, de relatoria da ministra Rosa Weber, discute a constitucionalidade dos incisos III e IV do art. 12 do Marco Civil do Internet (MCI), que autorizam a imposição das sanções de “suspensão temporária” e “proibição do exercício das atividades” de provedores de conexão e aplicações de internet. Mais informações sobre as ações e as disputas interpretativas por trás delas podem ser encontradas aqui, aqui e aqui.
Esse post é um registro das opiniões defendidas e discussões realizadas na audiência. As atribuições de afirmações a expositores foram linkadas para os trechos das gravações, disponíveis no YouTube. Eles estão disponíveis aqui, aqui, aqui, e aqui).
Criptografia
A audiência foi convocada porque, segundo o despacho, as ações impõem questões que “extrapolam os limites estritamente jurídicos e exigem conhecimento transdisciplinar a respeito do tema”. Particularmente, o STF mostrou-se interessado em compreender se o WhatsApp é capaz de interceptar conteúdo de mensagens, conflito que está à base dos bloqueios de acesso ao aplicativo, punido por deixar de atender a ordens judiciais de interceptação/quebras de sigilo.
Na convocação, o STF solicitou que os especialistas a serem ouvidos oferecessem respostas às seguintes perguntas:
1 – Em que consiste a criptografia ponta a ponta (end to end) utilizada por aplicativos de troca de mensagens como o WhatsApp?
2 – Seria possível a interceptação de conversas e mensagens realizadas por meio do aplicativo WhatsApp ainda que esteja ativada a criptografia ponta a ponta (end to end)?
3 – Seria possível desabilitar a criptografia ponta a ponta (end to end) de um ou mais usuários específicos para que, dessa forma, se possa operar interceptação juridicamente legítima?
4 – Tendo em vista que a utilização do aplicativo WhatsApp não se limita a apenas uma plataforma (aparelhos celulares/smartphones), mas permite acesso e utilização também em outros meios, como, por exemplo, computadores (no caso do WhatsApp mediante o WhatsApp Web/Desktop), ainda que a criptografia ponta a ponta (end to end) esteja habilitada, seria possível “espelhar ” as conversas travas [sic] no aplicativo para outro celular/smartphone ou computador, permitindo que se implementasse ordem judicial de interceptação em face de um usuário específico?
O teor de tais questões ajuda a explicar por que a audiência pública ganhou tom de estar discutindo criptografia, e não bloqueios. Muito embora os objetos das ações digam respeito à constitucionalidade de ordens judiciais de bloqueio de uma aplicação de internet e o amparo legal dessas medidas no Marco Civil da Internet, a corte esbarra indiretamente com questões ligadas à criptografia: é princípio básico do direito que ninguém está obrigado ao impossível (ad impossibilita nemo tenetur); se o WhatsApp não é capaz de realizar interceptações, juiz nenhum poderia ter exigido que o fizesse e muito menos bloqueado o aplicativo por não ter feito algo que lhe era impossível. Assim, compreensível que o tribunal tenha buscado ouvir técnicos da área.
Dos 24 especialistas consultados na audiência, ao menos 9 eram especialistas na área de computação, engenharia e/ou segurança da informação: os professores universitários Anderson Nascimento (University of Washington-Tacoma), Diego Aranha (Unicamp) e Marcos Simplício (Poli-USP), representantes da Federação das Associações das Empresas de Tecnologia da Informação (Fabio Maia), do Centro de Pesquisa e Desenvolvimento em Telecomunicações (Alexandre Braga), do Laboratório de Pesquisa Direito Privado e Internet da Universidade de Brasília (Marcelo Gomes), do Centro de Competência em Software Livre do Instituto de Matemática e Estatística da USP (Nelson Lago), do Comitê Gestor da Internet (Demi Getschko), além de Brian Acton, co-fundador e vice-presidente do WhatsApp.
Em apresentações que se complementaram, tais especialistas foram unânimes em sua mensagem ao tribunal: tal como construído hoje, não é possível que o WhatsApp realize interceptações de conteúdo de mensagens; para que se torne capaz, uma modificação no protocolo criptográfico teria de ser feita.
Essa seria uma má ideia por ao menos quatro razões, segundo os especialistas: a imposição dessa mudança ao WhatsApp
- seria ineficaz, uma vez que não impediria, na prática, que criminosos detectassem a vigilância nem tivessem acesso, por outros meios, a versões seguras de criptografia para se comunicar;
- fragilizaria todo a segurança do aplicativo, já que a introdução de uma forma de ‘acesso excepcional’ tornaria o sistema mais complexo e, por isso, mais vulnerável;
- traria problemas de escala, uma vez que o aplicativo teria de ser ‘particularizado’ para o Brasil, impondo dificuldades de gestão e execução a nível mundial;
- violaria liberdades, de programadores (de construir sistemas seguros), de usuários (de se comunicar de forma segura e privada, o que é especialmente sensível quando se pensa em ativistas de direitos humanos e profissionais como médicos, advogados e até agentes de segurança) e da empresa (de empreender e oferecer serviços seguros).
Em suas manifestações, os juristas Dennys Antonialli, do InternetLab, Pablo Cerdeira, do Centro de Tecnologia e Sociedade da FGV Rio (CTS-FGV), Ronaldo Lemos, do Instituto de Tecnologia e Sociedade do Rio (ITS-Rio), Thiago Moraes, do Laboratório de Pesquisa Direito Privado e Internet da Universidade de Brasília, Paulo Rená, do Instituto Beta para Internet e Democracia (IBIDEM) e Rafael Zanatta, do Instituto Brasileiro de Defesa do Consumidor (IDEC), além de Bruno Magrani, do Facebook Brasil, também endossaram o diagnóstico dos técnicos e frisaram a importância de se proteger a criptografia.
Para técnicos e juristas, há uma oportunidade de as agências brasileiras se modernizarem e se adaptarem a um mundo do qual a criptografia de ponta-a-ponta faz parte. Assim, falou-se em explorar alternativas no âmbito de investigações como o uso de metadados, obtenção de dados na nuvem e infiltrações.
Dennys Antonialli, do InternetLab, Juliano Maranhão, do Núcleo de Direito, Incerteza, e Tecnologia da Faculdade de Direito da USP, e Nelson Lago, do Centro de Competência em Software Livre do Instituto de Matemática e Estatística da USP ainda afirmaram que não existe hoje no ordenamento jurídico brasileiro qualquer obrigação à empresa de desenvolver seu aplicativo de forma a ser capaz de realizar interceptações de conteúdo de mensagens nem normas proibindo criptografia.
Do outro lado, representantes da Polícia Federal, do Ministério Público Federal (MPF), da Associação de Magistrados Brasileiros (AMB), do Conselho Federal da Ordem dos Advogados do Brasil (OAB), do Instituto dos Advogados de São Paulo (IASP), da Federação Brasileira de Telecomunicações (FEBRATEL) e do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), ao mesmo tempo em que admitiram a importância da criptografia, afirmaram que o WhatsApp deve colaborar com agentes de segurança pública na persecução de crimes efetuados por meio do ou facilitados pelo aplicativo.
Nesse sentido, Felipe Leal, da Polícia Federal afirmou, por exemplo, que a pergunta a ser feita não deveria ser se procede a afirmação de que há impossibilidade técnica de realizar interceptações, mas por que há essa impossibilidade e se deveria existir. No mesmo sentido, Alberto Ribeiro, da AMB, afirmou que não é possível aceitar um sistema de comunicação que seja impossível da intervenção estatal. Thiago Rodovalho, do IASP, também ponderou que há necessidade de compatibilização técnica do funcionamento dos aplicativos para possibilitar o cumprimento de ordens judiciais. Renato Opice Blum, do Insper, tentando conciliar as necessidades de investigação e a importância da criptografia como medida de proteção, aventou a possibilidade de se incluir uma porta de acesso, adotando-se diferentes camadas de criptografia.
Segundo Ivo Carvalho Peixinho, da Polícia Federal e Fernanda Domingos, do MPF, peritos já teriam atestado ser possível que a empresa atue como man-in-the-middle, forjando chaves criptográficas e, assim, facilitando ataque que permitia acesso ao conteúdo de mensagens de pessoas investigadas. Volnys Bernal, da FEBRATEL, também afirmou que é possível a implementação de técnica de espelhamento de conversas para autoridades, apesar dos riscos associados.
Ao fim e ao cabo, para esses expositores, bastaria que a empresa quisesse colaborar, alterando o modo de funcionamento atual do sistema, para que se torne capaz de realizar interceptações.
Jurisdição
Colocando a disputa sobre criptografia em perspectiva, Felipe Leal, da Polícia Federal, Vladmir Aras, do MPF e, Alexandre Atheniense, do Conselho Federal da OAB, relataram a histórica relação conflituosa que autoridades brasileiras possuem com empresas de tecnologia sediadas no exterior, que se recusariam a atender a ordens judiciais brasileiras e, assim, a se submeter à jurisdição nacional. Os expositores recordaram os tempos em que o Google, no auge da popularidade do Orkut, ainda se recusava a cooperar com autoridades brasileiras por razões de jurisdição, o que já não mais ocorre.
Amparando-se no art. 11 do Marco Civil da Internet, Fernanda Domingos, do MPF, por exemplo, reforçou que empresas estrangeiras que operam no Brasil devem se submeter à legislação brasileira, seguir deveres de retenção de metadados, e atender a pedidos de autoridades brasileiras de quebras de sigilo. Maxiliano Martinhão do MCTIC e Alexandre Atheniense e Claudia Marques, do Conselho Federal da OAB, também apresentaram este entendimento. Neide Oliveira, do MPF, argumentou ainda que, em razão de fazer parte do mesmo grupo econômico que o WhatsApp, o Facebook Brasil deve responder aos pedidos de dados usuários do WhatsApp.
Bruno Magrani, do Facebook Brasil, explicou que sua empresa oferece serviços de comercialização de espaço publicitário, segundo consta no próprio contrato social. As empresas responsáveis pela plataforma facebook.com, e que têm acesso a dados de usuários, são a Facebook Inc. e a Facebook Ireland. Disse ainda que, sempre que recebem pedidos de autoridades brasileiras, encaminha-os às empresas responsáveis no exterior, as quais avaliam a legalidade do pedido. Magrani citou ainda o art. 3, parágrafo único, do Marco Civil da Internet, segundo o qual os princípios da lei não excluem outros “previstos nos tratados internacionais em que a República Federativa do Brasil seja parte”, para afirmar que, quando a empresa orienta autoridades a entrarem com pedidos de cooperação internacional para acesso a conteúdo de comunicações do Facebook, também estão respeitando o devido processo legal segundo a legislação brasileira.
Acerca deste ponto, Dennys Antonialli, do InternetLab, destacou que a legislação americana proíbe que empresas de internet sediadas em seu território entregue conteúdo de comunicações de usuários a autoridades estrangeiras; é sempre necessário um warrant de juiz americano. Diante do conflito entre dispositivos da lei brasileira e da lei americana, o caminho é o dos acordos de cooperação judiciária. Antonialli também explicou que não existe na legislação americana barreira para entrega de metadados a autoridades de outros países.
Quando questionado sobre a relação jurídica e contratual entre WhatsApp e Facebook, Brian Acton, do WhatsApp, afirmou apenas que as equipes de respostas a pedidos de dados de autoridades operam separadamente. Respondendo sobre a forma como o WhatsApp coopera com autoridades nos Estados Unidos, Acton afirmou que as equipes do WhatsApp lidam com pedidos de autoridades do mundo todo e avaliam a legalidade dos mesmos antes da entrega das informações.
Bloqueios
Questões principais das ações são a admissibilidade de ordens judiciais de bloqueio do WhatsApp e a constitucionalidade das sanções de “suspensão temporária” (art. 12, III) e “proibição das atividades” (art. 12, IV) do Marco Civil da Internet.
Sobre isso, representantes da Polícia Federal, do MPF, da AMB, do Conselho Federal da OAB, do IASP, e do MCTIC, argumentaram pela possibilidade de determinações judiciais de bloqueio de acesso ao WhatsApp, ainda que apenas como último recurso, e pela constitucionalidade dos art. 12, III e IV do Marco Civil da Internet.
Neide Oliveira, do MPF, argumentou que o WhatsApp, assim como outras aplicações over the top (OTT), não se enquadra na categoria jurídica de “serviço essencial”. Por essa razão, não está protegido pelo “princípio da continuidade”; pode ter suas atividades interrompidas e, portanto, ser bloqueado. Caso a corte entenda, entretanto, que se trata de um aplicativo que não pode ser “interrompido” tal como outros serviços essenciais, todo o regime jurídico aplicável a “serviços essenciais” deveria ser aplicável ao WhatsApp, incluindo a estrita regulação e supervisão de órgãos reguladores aplicada esses serviços.
Vladimir Aras, do MPF, complementou no sentido de que sanções do art. 12 do Marco Civil da Internet não são novidade: dispositivos desse tipo podem ser encontrados, por exemplo, no art. 670 do Código de Processo Civil de 1939, que prevê a dissolução de sociedades que promovem atividades ilícitas, e no art. 19, II e III da Lei Anticorrupção (Lei 12.846/13), que prevê “suspensão” e “dissolução” de empresas que se engajarem em infrações contra a administração pública.
Alberto Ribeiro, da AMB, relatou processo que culminou em decisão de bloqueio do WhatsApp pelo juiz Marcel Montalvão e mencionou o art. 5, XII, da Constituição Federal, art. 1 da Lei 9.296/1996, art. 319, VI do Código de Processo Penal e os arts. 10, 11 e 12 do Marco Civil da Internet como fundamentos da ordem. Para Alexandre Atheniense, do Conselho Federal da OAB, a possibilidade de bloqueios está associada à própria defesa da soberania brasileira.
Dennys Antonialli, do InternetLab, a partir dos resultados da plataforma bloqueios.info, asseverou que podem ser identificados dois tipos de motivações de ordens judiciais de bloqueio: (i) as que atingem aplicações tidas como incompatíveis com o ordenamento jurídico brasileiro por oferecerem uma atividade-fim que seria ilegal; (ii) as que atingem aplicações que teriam descumprido ordens judiciais. No caso do WhatsApp, a decisão seria do segundo tipo, já que foi motivada por descumprimento de ordem judicial de entrega de dados. Segundo o representante do InternetLab, ordens de bloqueio do segundo tipo são inconstitucionais, pois não há ilegalidade no serviço e há meios menos gravosos de se exigir cumprimento da decisão.
Ronaldo Lemos, do ITS-Rio, argumentou que são inconstitucionais ordens de bloqueio por parte de juízes de primeira instância quando afetam a camada de infraestrutura da rede. Isso porque a jurisdição de juiz estadual não poderia abranger toda a infraestrutura da rede de um país nem todos os brasileiros; jamais se ouviu falar em bloqueios sistêmicos de serviços de telecomunicações, nem de estradas, não se podendo admitir o mesmo com a internet.
Retomando ponto inicialmente levantado por Demi Getschko, do CGI, Lemos também argumentou que bloqueios seriam incompatíveis com o “princípio da inimputabilidade da rede”, segundo o qual o combate a ilícitos na rede deve atingir aos seus responsáveis, não os meios de acesso e transporte de comunicações. Além disso, segundo Lemos, quando fala em “suspensão”, o Marco Civil autorizaria a suspensão de atividades que violem proteção de dados pessoais, e não o bloqueio integral de uma aplicação.
Rafael Zanatta, do IDEC, também destacou que as sanções previstas no art. 12 do Marco Civil da Internet foram elaboradas para serem aplicadas, progressivamente, caso um provedor se engaje em atividades que violem regras de proteção de dados pessoais. São dispositivos, portanto, destinados a proteger direitos, não aplicáveis caso empresas deixem de cumprir ordem de quebra de sigilo de dados. Zanatta afirmou ainda que o bloqueio do WhatsApp é uma medida desproporcional, quando se considera as consequências que acarreta para consumidores e empreendedores.
Com a mesma preocupação em proteger direitos do usuário, Paulo Rená, do Instituto Beta, se manifestou contra uma “mutilação” do Marco Civil da Internet, caso fossem declarados inconstitucionais os arts. 10, 11 e 12 dessa lei. Rená afirmou ainda que a segurança pública deve ser promovida dentro dos preceitos de um Estado democrático de Direito, no qual nem todos os métodos valem para empreendê-la: assim como tortura não é admissível, bloqueios também não deveriam ser aceitos.
Sobre aspectos técnicos relacionados à execução de bloqueios, Volnys Bernal, da FEBRATEL afirmou se tratar de diligência complicada, que envolve riscos em sua implementação. Maximiliano Martinhão, do MCTIC, citando pesquisa do Instituto Brookings, ainda afirmou que bloqueios acarretam diversos danos à economia do Brasil.