Data Privacy Brasil e InternetLab protocolam Amicus Curiae no Supremo Tribunal Federal (STF) analisando o uso de ferramentas de monitoramento secreto

A Data Privacy Brasil  e a InternetLab, com o apoio do escritório Mudrovitsch Advogados, protocolaram nesta semana a amicus curiae referente à Arguição de Descumprimento de Preceito Fundamental (ADPF) 1143, proposta pela Procuradoria-Geral da República (PGR), que aborda a regulamentação do uso de ferramentas de hacking governamental, monitoramento através de spywares em aparelhos de comunicação pessoal por órgãos e agentes públicos.

A contribuição à Corte foi organizada em 4 capítulos principais: I – A Indústria Internacional de exploração de Vulnerabilidades: Classificação e Usos Frequentes dos Spywares; II – O Uso de Spywares à Luz dos Direitos Fundamentais; III – Da Análise da Necessidade e Proporcionalidade no Uso de Spywares nas Investigações Criminais; IV – Da Residual Hipótese Desta E. Corte Decidir pela Necessidade do Uso de Ferramentas Spywares.

A Indústria Internacional de exploração de Vulnerabilidades: Classificação e Usos Frequentes dos Spywares

Para entendermos as consequências jurídicas do uso e obtenção de spywares, é essencial primeiro examinar o que são essas ferramentas e como elas se inserem em uma indústria global que explora vulnerabilidades em sistemas e protocolos de informação.

Spywares são, em essência, softwares com capacidades intrusivas de extração de informações e invasão em dispositivos ou sistemas eletrônicos e de comunicação. Eles são construídos a partir da exploração de falhas de segurança, vulnerabilidades, que eventualmente existam nesses dispositivos ou nas redes e protocolos de informação pelos quais transitam os fluxos de comunicação. O usuário, titular ou operador do sistema raramente tem conhecimento da instalação de um spyware, pois essas ferramentas são intencionalmente projetadas para serem silenciosas.

Quando essas vulnerabilidades não são comunicadas aos fabricantes de dispositivos e softwares ou à população, sua descoberta e exploração tornam-se uma porta de entrada para a vigilância direcionada. Ou seja, o desenvolvimento, compra e venda dessas tecnologias criam um verdadeiro mercado de exploração de vulnerabilidades de segurança nas comunicações. Conforme a autora Ní Aoláin, as principais empresas do setor privado que desenvolvem spywares incluem NSO Group (Israel), Quadream (Israel), Candiru/Saito (Israel), Gamma International Ltd (Reino Unido), Vilicius Holding GmbH (Alemanha), Trovicor GmbH (Alemanha), Qosmos (França), Amesys (França), Area SpA (Itália), Hacking Team (Itália), Cytrox (Macedônia), Cyberpoins (EUA), BlueCoat Systems (EUA) e Cisco Systems (EUA).

A falta de transparência por parte de governos e empresas que exploram essas vulnerabilidades de segurança resulta na notável dificuldade de compreensão pública do problema. Nesse contexto, a maior parte das informações que temos sobre vulnerabilidades de segurança vem do trabalho investigativo de organizações civis e pesquisadores independentes.

A operação da indústria de vulnerabilidades é consideravelmente mais opaca se comparada, por exemplo, aos processos de compras ordinários do governo. A ausência de transparência é crucial para que esse tipo de negócio atinja seu objetivo principal: a vigilância silenciosa de alvos específicos, possibilitada pelo aproveitamento de falhas de segurança em tecnologias usadas pela maioria dos cidadãos. Dessa forma, ao não se dar transparência a esses produtos/serviços e às negociações sobre eles, os Estados evitam que essas vulnerabilidades sejam descobertas e corrigidas, perpetuando um ciclo vicioso.

Para uma melhor compreensão e análise dos softwares construídos para a extração de informações de um usuário ou sistema sem o conhecimento do titular ou operador, apresentamos de forma sistematizada as diferentes capacidades dessas ferramentas. Identificamos seis categorias que podem auxiliar a Suprema Corte no julgamento adequado sobre como essas ferramentas afetam preceitos fundamentais:

1. Extração em dispositivo;
2. Extração em infraestrutura;
3. Derrubada de chaves criptográficas;
4. Extração de informações deletadas;
5. Extração de sistemas de comunicação em nuvem e
6. Extração de informações para inferência.

A intenção da construção dessa tipologia não é apenas fornecer uma análise descritiva. Com uma compreensão mais detalhada das diferentes funcionalidades desses tipos de spywares, torna-se mais evidente a relação entre certos tipos de riscos aos direitos fundamentais, que são intensificados e exigem, por sua vez, uma resposta institucional mais robusta, com a criação de instrumentos de controle, contrapesos e procedimentos institucionais aptos a minimizar os riscos aos direitos fundamentais dos cidadãos.

Os spywares afetam os direitos fundamentais de forma interconectada, pois esses direitos são violados em conjunto, e não de forma isolada. Isso representa um problema de alta importância para o sistema de justiça no Brasil e para a devida tutela dos direitos fundamentais. A tipologia construída ajuda a identificar os tipos de violações a partir das possibilidades de ação (affordances), oferecendo maior clareza analítica para uma análise sob a perspectiva dos direitos constitucionais e a efetiva tutela dos direitos fundamentais no Brasil.

O Uso de Spywares à Luz dos Direitos Fundamentais

Ao comprarem, adquirirem ou usarem ferramentas de spyware, órgãos estatais exploram uma indústria que cria vulnerabilidades nas comunicações e sistemas informacionais de todos os seus cidadãos.

Essas vulnerabilidades colocam em risco a segurança dos usuários e de toda a cadeia de uso da infraestrutura de comunicações. Isso inclui setores produtivos e essenciais da economia, como empresas financeiras e de saúde, onde a segurança no tráfego de informações e o sigilo do conteúdo transmitido são cruciais para a confiabilidade do mercado. É importante destacar que a falha em reparar uma vulnerabilidade no sistema não afeta apenas uma pessoa que esteja sendo investigada, mas todo o sistema produtivo que depende da confiança nessas infraestruturas para realizar suas operações.

Quando esse cenário ocorre e se sustenta cotidianamente, o ambiente democrático é afetado. Ativistas políticos, jornalistas, acadêmicos, professores e membros de coletivos ou movimentos sociais tendem a se manter em um estado de suspeição contínua, pois nunca sabem quando, se ou sob quais condições poderiam estar sendo monitorados por opositores políticos em cargos públicos de diversos níveis da federação.

A capacidade de livre opinião, associação e expressão, nesse contexto, fica constantemente à mercê do jogo e da mudança de forças políticas. Isso gera um ambiente de insegurança coletiva e desconfiança nas instituições de segurança pública e defesa, nocivo a qualquer democracia moderna que depende dessas instituições para sua continuidade.

A proteção da privacidade deve ser ainda mais rigorosa quando lidamos com uma ferramenta tecnológica poderosa, que consegue se infiltrar em diversos aspectos da vida do indivíduo por meio de monitoramento constante e em tempo real.

No tratamento de dados pelo poder público e, especialmente, diante das ferramentas de invasão de dispositivos informáticos, a assimetria informacional entre Estado e indivíduos acentua os riscos à proteção de dados pessoais. Como detentor do monopólio da força coercitiva, as atribuições da administração pública podem, por si só, trazer uma série de violações a garantias constitucionais. O objeto da presente ação destaca ainda mais essa relação de poder, à medida que a exploração de vulnerabilidades técnicas permite a invasão de dispositivos informáticos sem o conhecimento de seus alvos.

Ao longo dos anos, a Suprema Corte tem se manifestado no sentido de não apenas reconhecer o direito autônomo à proteção de dados pessoais e à autodeterminação informativa, mas também de condicionar as atividades do Estado à garantia desses direitos e ao não enfraquecimento do ambiente de informação e comunicação de seus cidadãos.

Da Análise da Necessidade e Proporcionalidade no Uso de Spywares nas Investigações Criminais

Neste tópico, defendemos que não há equilíbrio entre a necessidade e a proporcionalidade no uso de ferramentas de intrusão remota. Mesmo considerando a necessidade de um sopesamento, as salvaguardas legais atualmente existentes para a quebra de sigilo de dados e interceptações não são suficientes para justificar a utilização dessas ferramentas.

A partir da análise anterior, concluímos que toda interceptação, requisição, compartilhamento e quebra de sigilo de dados deve ter uma fundamentação clara, respeitando não apenas a estrita letra da lei, mas também a justificativa que decorre do efetivo sopesamento entre o interesse público na investigação criminal e os riscos significativos aos direitos e liberdades fundamentais do titular dos dados pessoais.

É importante destacar que ferramentas de spyware estão entre os instrumentos mais intrusivos à disposição do Estado. A possibilidade de acesso remoto a um dispositivo eletrônico sem o conhecimento do usuário não deve ser simplesmente equiparada à interceptação telefônica ou à invasão de um domicílio, pois o grau de intrusividade pode ser ainda mais intenso. Informações contidas em um dispositivo eletrônico podem revelar aspectos profundos da identidade digital do seu titular, incluindo sua moradia, hábitos, renda, e pessoas com quem se relaciona. Esses dados formam um retrato abrangente e detalhado da vida privada de um indivíduo, revelando ou inferindo seus hábitos, interesses, preferências, e associações familiares, políticas, profissionais, religiosas e sexuais.

Além da extensão do poder de vigilância, tais invasões permitem que o agente de investigação utilize o aparelho como se fosse o investigado, o que compromete severamente a confiabilidade das provas obtidas e cria desafios para a preservação da cadeia de custódia.

Portanto, não há casos excepcionais que justifiquem a adoção de uma medida de tamanha intrusividade como uma ferramenta de spyware. Não se pode supor que a utilização de spywares seria “necessária e proporcional” em qualquer situação.

Da Residual Hipótese Desta E. Corte Decidir pela Necessidade do Uso de Ferramentas Spywares

Subsidiariamente, Data Privacy Brasil e InternetLab pedem que, na hipótese de que a Suprema Corte não reconheça a inconstitucionalidade do uso de spywares pelo Estado, apesar dos extensos argumentos apresentados, é imprescindível estabelecer uma disciplina específica para regular o uso dessas tecnologias, a fim de garantir proteção adequada e eficiente aos direitos fundamentais afetados por tais mecanismos.

Em um Estado Democrático de Direito como o brasileiro, não se pode conceber a utilização de ferramentas de intrusão virtual remota sem uma decisão judicial prévia que comprove a necessidade, adequação e proporcionalidade da medida. Isso é essencial para salvaguardar as garantias à intimidade, privacidade e ao sigilo dos dados e das comunicações. Caso contrário, estar-se-á reduzindo, de forma injustificada e arbitrária, o nível de proteção dos direitos fundamentais.

Determinar apenas o requisito de uma ordem judicial para casos de intrusão virtual remota é insuficiente para garantir uma proteção constitucional equânime em comparação com outros mecanismos de quebra de sigilo. A interpretação constitucional deve priorizar a proteção mais rigorosa nos casos com maior potencial de lesão a direitos fundamentais. Nesse sentido, é urgente uma releitura contemporânea do artigo 5º, XII, da Constituição, pois a interpretação antiga, que seguia o binômio de dados “estáticos – em fluxo”, não capta as peculiaridades da comunicação de dados e pode permitir abusos, que felizmente têm sido mitigados pelos Tribunais Brasileiros.

Além da necessidade de decisão judicial prévia e da observância de parâmetros já existentes no ordenamento jurídico, como a previsão de um prazo máximo para a medida, descarte de provas irrelevantes e a proteção dos dados em fluxo, deve-se garantir a observância das garantias referentes à cadeia de custódia.

Finalmente, no caso das provas obtidas por spywares, devido ao alto grau de intrusividade e à fragilidade das informações, a constatação de vícios na cadeia de custódia deve levar necessariamente à declaração de ilicitude ou ilegitimidade. Não é adequado deixar essas questões para serem resolvidas apenas no momento da valoração pelo Magistrado. Portanto, se não houver uma documentação completa da cadeia de custódia, os arquivos digitais obtidos devem ser inadmitidos no processo penal.

A Data Privacy Brasil e InternetLab recomendam à Corte um exame de proporcionalidade e razoabilidade sobre a aquisição, desenvolvimento e uso de spywares pelo Poder Público brasileiro, considerando as competências legais dos órgãos, as capacidades técnicas das ferramentas e o reconhecimento das múltiplas violações de direitos fundamentais que podem trazer. 

A petição de amicus curiae completa está disponível aqui.

Acompanhe a Iniciativa de Defesa Digital para mais informações sobre o tema.