O mundo todo debate a privacidade por meio da proteção de dados pessoais. Ao mesmo tempo, sob a alegação de combate aos boatos de internet, pomposamente batizados de “Fake News”, cria-se todo um sistema de vigilância que trata cada indivíduo como suspeito. Portanto, ninguém mais tem direito a proteger seus dados pessoais para garantir aquilo que é um direito fundamental, a privacidade. Na prática, para combater uma enxaqueca, estamos prescrevendo que a cabeça do paciente seja cortada na guilhotina.

O que diz a Lei?
“Art. 1º Esta lei estabelece normas, diretrizes e mecanismos de transparência de redes sociais e de serviços de mensageria privada através da internet, para desestimular o seu abuso ou manipulação com potencial de dar causa a danos individuais ou coletivos (Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet).”

Já em seu primeiro artigo, que traz a motivação para o regramento, percebe-se uma contradição técnica bastante grave, quando se fala de serviços de mensageria Privada (grifo meu). Quando se fala de privacidade, mecanismos técnicos serão implementados para garantir que somente os interlocutores tenham acesso àquele conteúdo.

Para que ninguém possa ter acesso a esta comunicação, mecanismos de criptografia segura de ponta-a-ponta são entregues pelo provedor. A ressalva para tal é importante já neste momento, pois não existe forma de identificar conteúdo “abusivo ou com potencial de dar causa a danos individuais” sem que se tenha acesso ao teor das mensagens. Uma analogia do mundo físico seria importante para entendermos a questão: já que é possível às pessoas cometer crimes sexuais, todos os motéis serão obrigados a instalar câmeras em seus quartos. Assim, se necessário, haverá a transparência necessária nas investigações.

Ainda que se admita, em tese, tal vigilância, o parágrafo primeiro cria uma segregação quanto à abrangência, como se uma notícia falsa que seja “abusiva ou com potencial de dar causa a danos individuais” que envolva a eleição em um município de 1.000.000 de habitantes e que foi divulgada em plataforma digital local não necessite de atenção.

Aqui vem um ponto técnico bem importante. Atualmente, o mundo debate a gestão de identidades digitais, uso de inteligência artificial e, mais importante para esta análise, blockchain. Assim como a criptografia de ponta-a-ponta garante a privacidade nas conversas, ainda existem as tecnologias que são baseadas nos paradigmas de sistemas distribuídos. E o que isso quer dizer?

Que é possível utilizar sistemas de troca de mensagens da mesma forma que são usadas plataformas que fazem transações em criptomoedas sem nenhum sistema centralizado de intermediação. essa questão técnica exige discussão mais pragmática e multidisciplinar do tema.

Assim que as pessoas sentirem-se vigiadas em sua intimidade, tendo sua privacidade desrespeitada, passarão a utilizar serviços que podem funcionar sem nenhum centralizador. Elas vão se valer da tecnologia para dizer: “eu me comunico com quem eu achar que devo, sem precisar reportar isso a ninguém”.

Afinal de contas, como garantimos privacidade se queremos exigir que as plataformas que oferecem serviços de comunicação mantenham bases de dados que mapeiam todo o fluxo de informação entre os assinantes? Serviços que buscam comunicação segura e descentralizada já são encontrados mundo à fora.

§1º Esta Lei não se aplica a provedor de aplicação que oferte serviço de rede social ao público brasileiro com menos de dois milhões de usuários registrados, para o qual as disposições desta Lei servirão de parâmetro para aplicação de programa de boas práticas, buscando utilizar medidas adequadas e proporcionais no combate à desinformação e na transparência sobre conteúdos pagos.
Art 2º O disposto nesta Lei deve considerar os princípios e garantias previstos nas Leis nº 12.965, de 23 de abril de 2014 -Marco Civil da Internet, e nº 13.709, de 14 de agosto de 2018 -Lei Geral de Proteção de Dados Pessoais.
Os objetivos apresentados no projeto de lei são:
Art. 3º A Lei Brasileira de Liberdade, Responsabilidade e Transparência Digital na Internet tem como objetivos:
I – O fortalecimento do processo democrático por meio do combate à desinformação e do fomento à diversidade de informações na internet no Brasil;
II – A busca por maior transparência sobre conteúdos pagos disponibilizados para o usuário;
III – desencorajar o uso de contas inautênticas para disseminar desinformação nas aplicações de internet.
O Art. 5º da Constituição Federal veda o anonomat. Portanto, já existe regramento para o uso de contas inautênticas. Aliás: antes mesmo de criarmos uma legislação, seria interessante observar o porquê de as leis já existentes não terem a eficácia esperada.  O próprio Marco Civil da Internet, lei 12.965/2014, já regulamenta o tema quando em seu Art. 10. Define que:
 A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º .
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º

Importante perceber que o texto preserva a intimidade, a vida privada, a honra e a imagem das partes direta ou indiretamente envolvidas. Tecnicamente se faz necessário a separação de serviços de mensagens de plataformas de publicação e grupos privados da comunicação de grupos públicos de compartilhamento de mensagens.

Aplicativos de mensagens representam aquilo que o telefone, os Correios e outros serviços de comunicação implementavam em um passado não muito distante. Não é razoável, então, pensarmos que toda e qualquer comunicação deva ser registrada para fins de rastreamento, colocando toda a população em um radar de desconfiança.

Na prática, estaríamos dando autorização para a criação de um banco de dados que permitiria caracterizar todos os padrões de comunicação dos cidadãos brasileiros a partir de toda e qualquer plataforma que possua mais de 2 milhões de assinantes – sob a justificativa de coibir boatos.

Ao mesmo tempo em que se combate o tratamento indiscriminado de dados pessoais no contexto da Lei 13.709/2018 (LGPD) se acha razoável coletar identificação e registro de toda e qualquer mensagem repassada dentro das plataformas. Não existe forma de garantir a privacidade a partir da constituição de tais mecanismos propostos por este PL.

Hoje o Marco Civil já apresenta regulamentação que corrobora para as questões de identificação dos usuários, seus direitos e deveres, bem como as responsabilidades e limites dos provedores de serviços – sejam de telecomunicações, plataformas de conteúdos ou provedores de serviços disponíveis na internet além do papel dos entes públicos.

No texto do PL são vedados em seu Art. 5º:
I – contas inautênticas;
II – disseminadores artificiais não rotulados, entendidos como aqueles cujo uso não é comunicado ao provedor de aplicação e ao usuário bem como aqueles utilizados para disseminação de desinformação;
III – redes de disseminação artificial que disseminem desinformação;
IV – conteúdos patrocinados não rotulados, entendidos como aqueles conteúdos patrocinados cuja comunicação não é realizada ao provedor e tampouco informada ao usuário.

Cabe ressaltar, mais uma vez, que a Constituição já veda o anonimato. Ao mesmo tempo, assegura a liberdade de expressão. Também o marco civil já traz regulamentação quanto à obrigatoriedade de identificação dos usuários de serviços de internet no Brasil. É possível solicitar a identificação de responsável por uma conta que publicou conteúdo em desacordo com a lei – e a plataforma tem a obrigação de manter os registros.

Acreditar que será possível atribuir às plataformas a responsabilidade de julgar, de forma automatizada, se um conteúdo é lícito ou não, parece uma discussão que deve ser levada de uma forma bem mais ampla, como já ocorre no mundo todo há muito tempo, demonstrando que o tema  não é de simples solução, como se sugere.

Estamos falando de um momento onde a inteligência artificial é capaz de produzir conteúdo em áudio e/ou vídeos simulando a voz ou mesmo introduzindo a imagem de alguém.

Diante do exposto deve-se debater a capacidade de julgar rapidamente, mesmo que de forma preliminar até maior discussão, tais situações. Isso se dá por meio da possibilidade de bloqueio imediato do conteúdo nas plataformas de publicação em massa. Existem mecanismos técnicos que ajudam a bloquear um conteúdo a partir do momento em que ele é identificado – uma das técnicas é por meio da geração de assinaturas digitais, identificadores com base em funções de criptografia HASH, que permitem identificar um arquivo unicamente. Cabe também ressaltar que qualquer alteração no arquivo, por menor que seja, já altera tal assinatura, fazendo com que o mecanismo de bloqueio se torne ineficiente.

O debate sobre o tema é necessário exatamente por estas questões técnicas em que estão envolvidas. Por isso se tem falado tanto em uma sociedade baseada em reputação, onde a confiança nas fontes deve ser sempre medida com base em uma experiência coletiva. Há aí ainda mais um motivo pelo qual não se pode acreditar na eficiência de uma lei como essa, que terá sua fiscalização e aplicação dependentes de aspectos técnicos muito sensíveis. Não por acaso, há leis anteriores que tratam do tema de forma similar e ainda encontram forte dificuldade de aplicabilidade, além de eficiência duvidosa.

Ao Art. 5°, IV, §3° não se vislumbra efetividade quanto ao objetivo da lei, uma vez que as tecnologias de disseminação incluem áreas de criação de conteúdos como deep Fake.

§3º Dada a natureza complexa e em rápida mudança do comportamento inautêntico, os provedores de aplicação devem desenvolver procedimentos para melhorar as proteções da sociedade contra comportamentos ilícitos, incluindo a proteção contra o uso de imagens manipuladas para imitar a realidade, observado o disposto no §1º deste artigo.

O direito internacional estabelece que qualquer regulamentação que impacte na liberdade de expressão deve ser necessária para um propósito legítimo, como a proteção da segurança nacional, da saúde pública ou dos direitos de terceiros, e estritamente proporcional para atingir esse objetivo.

Considerando que os mecanismos técnicos propostos para combater as chamadas fake News são baseados em quase sua totalidade em ferramentas de registro e vigilância das comunicações – e mesmo assim não se apresentam com robustez necessária quanto sua eficiência e eficácia – cabe aqui debater melhor a possível solução para aquilo que se chamou de questão central, as fake News.

As tecnologias não serão capazes de identificar deep fakes. Não serão capazes de aferir conteúdos em imagens, que podem também ser mudadas na mesma velocidade em que se criam as contas falsas, burlando mesmo os algoritmos que identificam tais padrões. Uma imagem propagando uma notícia falsa pode receber infinitas combinações de forma de apresentação proporcionadas dinamicamente por aquele que as quer disseminar. Portanto, a proposta de lei parece apenas impactar negativamente na questão da privacidade, sem ao menos resolver o problema para aqueles que deliberadamente fazem uso dos meios existentes para cometer crimes já previstos na legislação nacional.

Problemas estruturais se apresentam em meio à proposta, como a exigência aos aplicativos de mensagens que mantenham relação com o cadastro de número de telefone móvel, como se os serviços fossem dependentes. Há ainda questões que passam pela capacidade do Estado em gerenciar a identidade de forma digital de seus cidadãos, ou mesmo de sua capacidade de regular e fiscalizar a matéria. Isso fica claro quando se observa que no capítulo destinado à atuação do poder público não se encontra o papel de fiscalização ou apenas se limita a receber denúncias em um canal a ser criado.

DA ATUAÇÃO DO PODER PÚBLICO
Art. 24. A aplicação de internet de pessoa jurídica do poder público deve:
I – disponibilizar mecanismo acessível e destacado para qualquer usuário reportar desinformação; e II – utilizar as diretrizes de rotulação de conteúdos patrocinados promovidos pelo setor público.
Parágrafo único. As pessoas jurídicas a que se refere o caput deste artigo são aquelas definidas no art. 1º, da Lei nº 12.527, de 18 de novembro de 2011.
Art. 25. O cumprimento do dever constitucional do Estado na prestação da educação, em todos os níveis de ensino, inclui a capacitação, integrada a outras práticas educacionais, para o uso seguro, consciente e responsável da internet, incluindo campanhas para evitar a desinformação na internet e promover a transparência sobre conteúdos patrocinados.
Art. 26. O Estado deve incluir nos estudos de que trata o art. 28 da Lei nº 12.965, de de 2014, diagnósticos sobre a desinformação na internet e a transparência de conteúdo patrocinado na internet. Art. 27. A União, os Estados, o Distrito Federal e os Municípios devem promover campanhas para servidores públicos sobre a importância do combate à desinformação e transparência de conteúdos patrocinados na internet.

Bastante importante a regulamentação quanto aos financiadores e aos criadores do conteúdo divulgado. Assim como já existe regulamentação para publicidade e propaganda, os conteúdos produzidos por grupos de influenciadores digitais devem ser enquadrados no regramento já existente.

Pode-se observar que o direito à privacidade está ameaçado sob a frágil alegação de combate aos boatos digitais, sobretudo quando já existem leis que permitem a regulamentação e punição da prática. O que falta é envidar esforços quanto à operacionalização, fiscalização e agilidade na identificação dos fatos e punição do envolvidos.

Observa-se que já existem iniciativas de veículos de imprensa na identificação de falsas notícias, bem como, operações de investigação do envolvimento em crimes relacionados ao tema.

Logo, o mais importante seria a fixação de um marco regulatório e a constituição de comitês multidisciplinares capazes de receber as denúncias, identificá-las rapidamente e, aí sim, com o estabelecimento de canais ágeis de plataformas, conter as disseminações.

Não se pode achar que a resolução do problema reside na mera criação de uma base de vigilância social, como se vê no texto, sem que tecnicamente tenha eficácia, causando, de outro lado, dano irreparável aos direitos fundamentais dos cidadãos.

 

Ramicés dos Santos Silva – CISO (Chief information security officer) e co-fundador da Safera Data Protection, membro do comitê Internacional C|CISO na EC-Council, Cientista da Computação, especialista em Segurança da Informação e Gestão de equipes de alto desempenho, tem 20 anos de experiência em projetos críticos de tecnologia e segurança da informação e diversas certificações na área de segurança e proteção de dados. Professor em cursos de graduação em tecnologia e de pós graduação em Gestão da Segurança da Informação e Projeto de Redes de Computadores. Conselheiro de administração certificado pela Fundação ENA – Ecole Nationale D’Administration. Atualmente. Membro do comitê gestor de segurança do CIASC onde também já atuou como coordenador de segurança e Vice-Presidente de Tecnologia.

e-mail: ramices@safera.com.br
Linkedin: https://www.linkedin.com/in/ramices/