A importância da criptografia e suas repercussões para o Direito e a sociedade ganhou projeção no Brasil com as recentes ações de controle de constitucionalidade em curso no Supremo Tribunal Federal. Ambas (ADI 5527 e ADPF 403) tratam do bloqueio de aplicações como o WhatsApp, aplicativo de mensagem instantânea que usa tecnologia de criptografia ponta a ponta para garantir a segurança e o sigilo das comunicações de seus usuários.

Em audiência pública recentemente promovida pelo STF, o mecanismo da criptografia ponta a ponta foi especificamente abordado. O deslinde destes casos será capital para o delineamento do estatuto jurídico a respeito, haja vista suas potenciais consequências regulatórias para as tecnologias criptográficas no Brasil.

 

Em termos gerais, a criptografia consiste na ciência de cifrar o conteúdo de uma mensagem com o objetivo de esconder seu significado. A modalidade, que é comumente qualificada como criptografia ponta a ponta, refere-se, especificamente, às implementações que garantem que somente emissor e destinatário de uma mensagem detenham os meios técnicos capazes de realizar a sua codificação e decodificação. Assim, impede-se que outros que não sejam os extremos – ou as pontas da comunicação – conheçam o seu conteúdo, bem como torna claro que somente os terminais de emissor e destinatário serão capazes de aplicar as ferramentas criptográficas.

O debate sobre o estatuto da criptografia é igualmente intenso em outros países. Recentemente, o regulador russo de telecomunicaçõe, Roskomnadzor, ordenou ao aplicativo Telegram que entregasse as suas chaves criptográficas. Apesar das diferenças existentes entre os sistemas do Telegram e do WhatsApp, ambos utilizam criptografia ponta a ponta (no caso do primeiro, até certa medida).

A recusa do Telegram foi seguida de apelo à Suprema Corte da Rússia, que julgou improcedente o pedido. Devido ao descumprimento da ordem judicial, no dia em abril de 2018 foi determinado pelo Roskomnadzor o bloqueio de acesso ao Telegram no território russo.

Em sentido diametralmente oposto parecem apontar outras iniciativas. Ao se desenhar o marco regulatório das comunicações eletrônicas na União Europeia (UE), por exemplo, uma perspectiva mais adequada à proteção dos direitos e garantias fundamentais conexas ao fluxo informacional parece estar sendo considerada.

Com o propósito de adequar a Diretiva 2002/58/CE ao Regulamento Geral sobre Proteção de Dados da UE, em janeiro de 2017 a Comissão Europeia publicou uma proposta de Regulamento sobre Privacidade e Comunicações Eletrônicas. Na versão apresentada com emendas pelo Parlamento Europeu, propõe-se a inclusão do § 1º-A no art. 17, determinando que os “prestadores de serviços de comunicações eletrônicas devem assegurar uma proteção suficiente contra o acesso ou alterações não autorizados aos dados das comunicações eletrônicas, e que a confidencialidade e a integridade da comunicação transmitida ou armazenada também sejam garantidas através das medidas técnicas mais recentes, como métodos criptográficos, incluindo a encriptação de ponta a ponta dos dados de comunicações eletrônicas”.

Aliás, em consonância com essa linha propositiva, o GT do Artigo 29, que reúne as autoridades de proteção de dados dos países da UE, pronunciou-se claramente em defesa do interesse particular de indivíduos e empresas e do interesse público de entes estatais no uso de criptografia forte. Afirmou, ainda, que “the mathematical foundation of cryptology does not provide the basis for a secure backdoor”.

Para fins da realização de amplo e profícuo debate público para a regulação das técnicas criptográficas é imprescindível que no Brasil atentemos para outros modos de utilização dessas tecnologias: criptografia para segurança de dispositivos e criptografia para segurança operacional.

A aplicação de técnicas e softwares criptográficos em dispositivos como smartphones visa a assegurar a segurança informacional e a confidencialidade de dados armazenados. O caso FBI vs Apple em 2016 foi dos mais noticiados sobre esse tipo de utilização da criptografia. A agência policial pretendia romper o sistema de segurança do iPhone de um dos suspeitos do ataque terrorista de San Bernardino para fins de obtenção de prova.

No Crypto Colloquium, encontro multissetorial de especialistas que ocorreu em Washington em 2017, foi cogitado um cenário em que houvesse meios técnicos para construir um sistema que pudesse assegurar acesso a conteúdo decifrado (plaintext) a autoridades públicas em específicos contextos. Na hipótese de tal sistema ser juridicamente imposto, os participantes do encontro concordaram com certos pressupostos para as discussões travadas. Sublinhem-se os seguintes: i) previsão expressa em lei; ii) regras claras de tratamento e minimização de dados; iii) somente abranger a criptografia embarcada em dispositivos; e iv) a implementação do sistema e seu regramento deve ser atada à rede de telefonia móvel.
Mesmo com essa estrita delimitação, concluiu-se, entretanto, que um tal sistema com excepcional regime de acesso a dispositivos garantido a entidades estatais seria eficaz por curto período, substancialmente custoso e arriscado para a segurança em geral.

A presença cada vez mais acentuada das discussões sobre criptografia relacionadas a temas de proteção de dados comprova a estreita relação (e interdependência) entre segurança e privacidade. É comum a afirmação de que sem segurança da informação não há privacidade. E é igualmente veraz o sentido inverso: sem que haja uma demanda real por privacidade, não há motivo para se implementarem medidas de segurança da informação. No momento em que, no Brasil, estão amadurecendo as discussões sobre uma futura lei de proteção de dados, urge que o ordenamento jurídico esteja como um todo preparado para recepcionar esta nova “cidadania digital”, na qual os cidadãos terão os direitos necessários sobre seus dados pessoais. Nele, é imperativo que medidas técnicas imprescindíveis para que a tecnologia fundamental à proteção da privacidade em ambientes digitais, como a criptografia, possam ser implementadas sem limitações que, em última análise, os inviabilizem e prejudiquem cidadãos, o Estado e a própria capacidade de inovação do setor tecnológico nacional.