Imagem: cortesia de Laís Martins
Em meados de dezembro de 2021, o Congresso brasileiro ratificou a Convenção de Budapeste sobre crimes cibernéticos, após um processo extraordinariamente rápido, marcado por pouco debate e falta de transparência. Especialistas alertam que a manobra foi um tanto problemática, entre outros motivos, porque o tratado pode colocar em risco dados de cidadãos e abrir caminho para a criminalização do trabalho de ativistas e pesquisadores da InfoSec [1].
O presidente Jair Bolsonaro ainda não assinou o projeto de lei aprovado nas duas câmaras do Congresso, o qual vincula legalmente a participação do Brasil no acordo internacional. No entanto, como parte de uma crescente comunidade de ativistas no Brasil, pesquisadores da InfoSec agora correm o risco de serem processados judicialmente por seu trabalho de identificação de violações de segurança e comprometimento de dados. O tratado também permite que as autoridades brasileiras obtenham dados de cidadãos sem a necessidade de autorização judicial.
A Convenção de Budapeste sobre crimes cibernéticos data de 2001 e foi iniciada pelo Conselho da Europa. Atualmente, o tratado é ratificado por 67 países e visa harmonizar as legislações nacionais sobre crimes cibernéticos, estabelecer um marco comum e de investigação e protocolos, e facilitar a cooperação entre os Estados signatários.
Com o processo iniciado em dezembro de 2019, o Senado e a Câmara dos Deputados brasileiros aprovaram a legislação ratificando o tratado em 2021. Entretanto, nesse período, acadêmicos e organizações da sociedade civil que trabalham com direitos digitais ficaram de lado, com poucas informações sobre o documento e nenhuma oportunidade de participação no debate.
Além da falta de debate público, o processo de ratificação no Brasil também foi marcado por muita desinformação por parte do próprio governo. Em comunicados [2] oficiais, o governo brasileiro anunciou que os convidados têm prazo de três anos após o convite para decidir sobre a ratificação. O prazo expira cinco anos após o convite, como reforçado na mensagem de adesão do Conselho da Europa [3]. O Ministério Público Federal brasileiro fez declarações públicas pressionando para que fosse aprovado com celeridade [4]. Esse cenário gerou um falso senso de urgência para que o projeto de lei fosse aprovado.
A CDR (Coalizão de Direitos na Rede), formada por 48 organizações acadêmicas e da sociedade civil, critica [5] a “velocidade excessiva” do projeto de lei, injustificada pelos altos riscos. No entanto, a rapidez da ratificação não é a única preocupação apontada pelos especialistas.
Os países convidados podem aderir apenas parcialmente à convenção e rejeitar algumas partes do tratado, por exemplo. Esse mecanismo permite que os Estados ratifiquem a convenção sem comprometer sua legislação nacional sobre o assunto. Ao contrário de muitos outros Estados signatários, o Brasil aderiu integralmente ao tratado, sem exercer seu direito de reserva.
Essa ratificação acrítica é especialmente problemática devido a dois artigos que, segundo os especialistas [5], podem ser usados para “condenar erroneamente as atividades legítimas e rotineiras de ativistas e pesquisadores da InfoSec”. Outros países signatários optaram por omitir estes dois artigos.
Assim, o artigo 7º do tratado estabelece que “uma das partes implicadas” poderia modificar o texto para exigir que a “falsificação informática” seja cometida com a intenção de responsabilizar criminalmente pessoas que realizam tal prática. Essa emenda protegeria os ativistas e investigadores da InfoSec, que frequentemente pesquisam e verificam sites do governo, dos bancos e de varejistas on-line em busca de violações de segurança, por exemplo. O Brasil preferiu seguir em frente sem modificar o texto, explica Paulo Rená [6], ativista do Aqualtune Lab, doutorando e mestre em Direito, o que expõe diretamente esses atores. Outros países, como Bélgica e Estados Unidos, optaram por este tipo de proteção quando ratificaram a convenção.
Na prática, se um pesquisador descobrir após sua própria pesquisa que seus dados pessoais foram comprometidos em um dos vazamentos massivos de dados [7] que afetaram o país nos últimos anos e decidir entrar em contato com a empresa ou agência governamental sobre a exposição de seus dados, agora, poderá ser denunciado às autoridades por cometer um crime.
“Isso pode acontecer com um varejista on-line, o Ministério da Saúde, uma empresa estrangeira ou uma universidade”, explica Rená. “Pode ser um arrebatamento autoritário de pessoas que, a partir de uma perspectiva hierárquica, não entendem como funciona a comunidade tecnológica, um grupo que tradicionalmente divulga esse tipo de informação de forma mais aberta”.
As autoridades brasileiras não veem com bons olhos os ativistas e pesquisadores da InfoSec. Um exemplo desse tipo de “arrebatamento autoritário” descrito por Rená foi visto em maio de 2021, durante a Comissão Parlamentar dedicada a investigar como o governo Bolsonaro lidou com a crise do coronavírus.
Em uma das audiências públicas, um funcionário do Ministério da Saúde acusou [8] o jornalista Rodrigo Menegat de hackear o TrateCov, aplicativo de telemedicina desenvolvido pelo governo que recomendava tratamentos de acordo com os sintomas inseridos no aplicativo. O aplicativo era deliberadamente falho, pois recomendava tratamentos com eficácia científica desaprovada para quase todos os tipos de sintomas. Menegat, que atualmente trabalha para a Deutsche Welle no Brasil e é membro ativo da comunidade brasileira de jornalismo de dados, apenas inspecionou o código do aplicativo para descobrir a falha. Apesar de o código ser uma informação pública, acessível a qualquer pessoa na internet, Menegat foi acusado como hacker.
No entanto, a ratificação da Convenção de Budapeste pelo Brasil não é uma ameaça apenas para a comunidade da InfoSec. Quase todos os cidadãos brasileiros agora correm o risco de seus dados pessoais serem apropriados pelas autoridades sem que haja necessidade de autorização judicial prévia.
“A convenção, neste artigo [15 § 2º], representa uma grande vulnerabilidade para o devido processo legal. Estas medidas podem ser tomadas sem controle judicial. O Ministério Público Federal, caso atue sob o âmbito da Convenção de Budapeste, pode obter acesso a dados pessoais sem a necessidade de solicitar a autorização de um juiz, de modo que o controle judicial não é a norma. O raciocínio de qualquer um dos mecanismos da Convenção de Budapeste não é a norma. A delimitação de quem são as pessoas e a duração dessas medidas não é a norma. Excepcionalmente, se indicado, quando for o caso, será exigido controle judicial”, acrescentou Rená.
Isso abre caminho para o abuso de poder, por parte, também, de adversários políticos e instituições como o Ministério Público Federal, que já foi acusado de tais práticas quando grampeou o telefone do gabinete presidencial da ex-presidente Dilma Roussef para interceptar suas conversas.
Rená explica, ainda, que isso também se torna um problema porque vai contra o Marco Civil da Internet [9] de 2014. Também é preocupante porque impacta projetos de lei e áreas que ainda não foram regulamentadas no Congresso, como o projeto de Fake News e o projeto de proteção de dados para a segurança pública e persecução criminal.
Cabo de guerra
As negociações que estão ocorrendo agora, após a aprovação do Congresso, são ainda menos transparentes. Uma das decisões a serem tomadas é sobre quem será o “ponto de contato” do tratado no Brasil, órgão que, na prática, atuará como fiscalizador do acordo.
Segundo Rená, o órgão escolhido terá uma posição privilegiada, funcionará como uma espécie de “funil” pelo qual todas as investigações devem necessariamente passar.
Sabe-se poucos detalhes sobre o processo em andamento para a escolha desse órgão, mas uma reportagem do Brazilian Report [10] no início de fevereiro sugere que há uma luta política pelo controle. O procurador-geral, Augusto Aras, teria pedido diretamente ao presidente Bolsonaro que seu departamento se concentrasse na Convenção de Budapeste. Enquanto isso, o Ministério da Justiça também está tentando a sorte, pedindo que a supervisão do acordo seja entregue à Polícia Federal e ao DRCI (Departamento de Recuperação de Ativos e Cooperação Jurídica Internacional), órgão deste ministério
Porém, se escolhido, o Ministério da Justiça seria alvo de muitas críticas por acusações de interferência política sob a influência de Bolsonaro [11]. Por ser parte do poder executivo, esse órgão estaria menos protegido contra a intromissão política.
Grupos como a Coalizão de Direitos na Rede sugerem que a autoridade mais adequada para se encarregar da convenção seja a ANPD (Autoridade Nacional de Proteção de Dados), pois é a única com objetivo estrito de privacidade e proteção de dados. A opinião pública só saberá o fim da saga quando o Brasil comunicar sua decisão sobre o “ponto de contato” com o Conselho da Europa, o que não tem prazo definido para acontecer.
Por favor, visite a página do projeto para ler mais artigos de
Unfreedom Monitor [12].