A Convenção de Crimes Cibernéticos da ONU e a guerra entre Rússia e Ucrânia

A ONU é uma organização internacional que foi fundada com o objetivo de manter a estabilidade entre os países. Seus propósitos estão descritos na Carta das Nações Unidas, seu documento de fundação, assinado em 26 de junho de 1945 e assinado pelo Brasil. Em seu preâmbulo, definiu-se que o objetivo da elaboração da Carta era estabelecer condições sob as quais a justiça e o respeito às obrigações decorrentes de tratados e de outras fontes de direito internacional possam ser mantidos.

Foram muitas as Convenções elaboradas, em assuntos como direito humanitário internacional (1949), a não proliferação de armas nucleares (1969), a supressão de ilícitos na aviação civil (1971), a proteção do patrimônio cultural mundial (1972), a emissão de ozônio e proteção do meio ambiente (1985) e os direitos das crianças (1989), apenas para citar alguns exemplos. A bola da vez é o crime cibernético.

As negociações em meio a uma guerra

A elaboração de uma convenção internacional sobre o combate ao uso de tecnologias de informação e comunicação para fins criminosos por um comitê especial da Organização das Nações Unidas (ONU) teve início no último 28 de fevereiro, na sede da ONU em Nova Iorque, com possibilidade de participação remota em razão da pandemia. 

Quatro dias antes do início dos trabalhos do Comitê da Convenção de Cibercrimes, a Rússia iniciou uma ação militar e cibernética contra a Ucrânia, uma materialização de graves dimensões, resultantes de tensões históricas na região.

A coincidência foi, no mínimo, infeliz. Os trabalhos preparatórios em torno da Convenção tiveram início em maio de 2021 a partir de uma sessão de três dias realizada em Nova Iorque, de acordo com a Resolução 74/247. Os trabalhos já haviam sido adiados em agosto de 2020 em razão dos impactos da pandemia (Decisão 74/567). Em 26 de maio, a Assembleia Geral da ONU aprovou a Resolução 75/282 (“Countering the use of information and communications technologies for criminal purposes“), que estipulou sessões oficiais para 2022, com três sessões iniciais em Nova Iorque e duas seções de negociações em Viena, de acordo com os procedimentos oficiais da ONU.

O Comitê é liderado pela embaixadora da Argélia, Faouzia Mebarki. O relator é Arsi Firdausy, da Indonésia. Há treze representantes como Vice-Secretários, incluindo diplomatas dos EUA (James Walsh), da Rússia (Dmitry Bukin) e do Brasil (Eric Lacerda Sogocio). Houve uma expectativa de iniciar os trabalhos em janeiro de 2022, porém as sessões iniciaram apenas dia 28 de fevereiro, incluindo participação de entidades civis creditadas para participação e direito à fala.

Como a guerra afetou as negociações

É evidente que a invasão russa da Ucrânia tornou o clima diplomático instável e belicoso. O Comitê da ONU não poderia ser iniciado de outra maneira: houve falas duras contra a Rússia, acusada de violar não apenas princípios do direito internacional e da Carta da ONU, como o próprio objeto de elaboração da Convenção. Vários países pediram pelo fim dos ataques cibernéticos russos contra o povo ucraniano, assim como das campanhas de desinformação: oficiais da Ucrânia relataram a invasão de sites de governos locais para divulgar que o país teria entrado em um acordo de paz com a Rússia. O que foi consenso de muitos dos países ali presentes é de que a Rússia perdeu sua credibilidade de negociação. O representante russo se pronunciou no sentido de que o Comitê não deve ser politizado, e enfatizou o papel central da ONU nesse processo.

O entendimento sobre no que consistem “crimes cibernéticos” é um dos principais pontos em discussão pelo Comitê ad hoc da ONU. Caso o escopo seja amplo, há riscos de violação de direitos e liberdades fundamentais, pois apenas o uso de tecnologias de informação e comunicação para ações não intencionalmente criminais já poderiam ser enquadradas. Durante as primeiras sessões do Comitê, alguns representantes estatais exemplificaram suas preocupações relacionadas a crimes financeiros transnacionais e ataques de ransomware (a prática de sequestro e resgate de dados, geralmente mediante pagamentos em Bitcoin).

Ao analisarmos as falas dos delegados nos primeiros dois dias, observamos uma clara distinção entre o posicionamento de alguns países em suas intervenções iniciais na sessão chamada General Debates. Países como Malásia e Indonésia, por exemplo, fizeram intervenções sobre a necessidade de priorizar o interesse das vítimas e sobre a expansão dos conceitos de cibercrimes para incluir golpes financeiros, invasões de sistemas de pagamento e ataques a dispositivos. A Rússia também se posicionou em sentido expansivo, no sentido de uma definição a mais ampla possível de tipos penais que deveriam estar definidos como escopo da Convenção. Para os russos, a Convenção não deveria adotar um conceito restritivo de cibercrime, mas amplia o conteúdo do escopo para incluir usos ilícitos de dados, uso da Internet para venda de drogas e medicamentos contrabandeados, pedofilia e qualquer tipo de delito que possa ser realizado por meio de tecnologias da informação e da comunicação.

Em sentido contrário, países como Alemanha, México e Estados Unidos da América defenderam que a Convenção deve ter um enfoque em cooperação internacional para fins de investigação criminal, um enfoque em devido processo e justiça criminal diante de crimes transnacionais e uma definição sobre cibercrimes que não abra margem para dúvidas conceituais. Países em desenvolvimento, em especial os da região caribenha e do continente africano, fizeram falas sobre a necessidade de uma Convenção que contenha mecanismos de apoio de países mais ricos para países mais pobres e não apenas uma exigência de cumprimento de protocolos em comum. Para muitos delegados, a Convenção necessita de um enfoque na construção de capacidades para combate ao crime cibernético em escala internacional.

O texto proposto para discussão prevê que, dada a consideração e respeito à soberania dos Estados e a proteção dos direitos humanos e direitos fundamentais, tal como garantido nos instrumentos de direitos humanos internacionais, o objetivo da convenção é promover e fortalecer a contenção e combate do uso de tecnologias da informação e comunicação para finalidades criminais, protegendo os usuários das TICs desses crimes. O objetivo, além de outros, é promover, facilitar e apoiar a cooperação internacional na contenção do uso das TICs para cibercrimes.

O posicionamento da sociedade civil e o método de negociação

Diferentemente do processo da Convenção de Budapeste, esta Convenção de Crimes Cibernéticos tem o mérito de contar com uma elaboração multissetorial, o que foi bem recebido por vários representantes estatais. A “virtualização” dos trabalhos do Comitê devido ao contexto pandêmico – onde alguns delegados estatais também participam online – possibilitou a contribuição de atores não-estatais, como organizações não-governamentais Humans Right Watch, Access Now, EFF e a Associação Data Privacy Brasil de Pesquisa.

O caráter multissetorial tem precedentes positivos nos campos da Governança da Internet e do Constitucionalismo Digital, a exemplo da Lei do Marco Civil da Internet brasileira (Lei n°12965/2014). Além de um pequeno tempo de fala nas duas semanas de trabalho do Comitê que se realizam entre 28 de fevereiro e 11 de março, é prevista uma nova rodada de consulta multissetorial entre os dias 21 de março e 1 de abril. A expectativa é que nesta primeira sessão seja definido um acordo sobre objetivos, escopo e estrutura da Convenção, e o modo de trabalho do Comitê.

Nas intervenções da sociedade civil nesta primeira sessão, emergiram alguns consensos sobre o conjunto de preocupações de organizações dedicadas aos direitos digitais com relação à Convenção de Crimes Cibernéticos.

Em intervenção na sessão de primeiro de março, Privacy International e Derechos Digitales argumentaram que o escopo da Convenção deveria ser restrito e que, em hipótese alguma, o uso de Virtual Private Networks (VPNs) ou serviços de criptografia ponta-a-ponta deveriam ser criminalizados. Para que houvesse a identificação de uma intenção delitiva, a Convenção deveria adotar um padrão (standard) de intenção maliciosa, na linha do que foi defendido por carta aberta assinada por mais de 100 organizações, incluindo Data Privacy Brasil. Além disso, todo o regramento procedimental sobre investigação criminal e utilização de dados deve ser pautado nos princípios de legalidade, proporcionalidade e necessidade.

A Electronic Frontier Foundation (EFF) argumentou que normas sobre crimes cibernéticos podem ser utilizadas de forma errada para perseguir defensores de direitos humanos de forma contrária ao direito internacional. Para a EFF, a definição de crimes deve ser a mais restrita possível, tendo como base os Artigos 2 a 6 da Convenção de Budapeste: acesso ilegal a sistemas computadorizados, intercepção ilegal de comunicação, interferência em sistemas e invasão de dispositivos, tendo como norte a premissa de que crimes onde as TICs são simplesmente utilizadas como meio não constituem o centro da definição de crimes cibernéticos. Os crimes relacionados à expressão devem ser categoricamente excluídos, como discurso de ódio, incitação ao terrorismo e violação de direitos autorais. Para a EFF, “crimes cibernéticos têm sido utilizados como instrumentos para perseguir jornalistas, políticos, advogados, líderes religiosos, artistas e pesquisadores de segurança da informação”.

A mesma linha de argumentação foi trazida pelas intervenções de Artigo 19 e AccessNow. Para a Artigo 19, sediada em Londres, há inúmeras questões problemáticas para liberdade de expressão, sendo necessário ter padrões altos de proteção aos direitos humanos e direitos fundamentais em molduras para investigações transnacionais. Para a AccessNow, a Convenção não pode ampliar poderes excessivos para autoridades governamentais. A ampliação de poderes deve ser feita para casos muito específicos de crimes cibernéticos definidos de forma restrita, sendo potencialmente devastador o efeito para países autoritários.

Já a Human Rights Watch relembrou os delegados que as pessoas devem ser protegidas, porém a intensificação do uso de instrumentos do direito penal podem levar a respostas pouco efetivas e desproporcionais. A ausência de consenso sobre o que é o crime cibernético e como combatê-lo não deve levar a ONU a uma corrida ao fundo do poço.

Organizações civis como Data Privacy defenderam, em carta aberta ao Comitê da ONU, que a Convenção deve assegurar que qualquer interferência no direito à privacidade cumpra os princípios de legalidade, necessidade e proporcionalidade, inclusive exigindo autorização judicial independente para medidas de vigilância. Para a sociedade civil organizada, a Convenção não deve proibir os Estados de adotar salvaguardas adicionais que limitem a raspagem, coleta massiva e uso de dados pessoais por autoridades de investigação criminal, pois tal tipo de proibição prejudicaria a privacidade e a proteção de dados.

Tais posicionamentos refletem a posição da sociedade civil organizada tão somente. A negociação, no entanto, é realizada por meio de mudanças nos textos e posicionamentos formais dos delegados dos países membros, que representam oficialmente os Estados. Uma Convenção da ONU é um tratado internacional. O objetivo de formular uma Convenção sobre Cibercrimes é fazer com que esse instrumento jurídico se torne vinculante, dada sua dimensão internacional e formulação dentro da ONU, obrigando os Estados Parte que a ratificam a cumprir os seus dispositivos, sob pena de serem pressionados pela comunidade internacional.

O papel do Brasil no Comitê e futuras expectativas

As falas da delegação brasileira nos primeiros dias de trabalho do Comitê expressaram preocupação com instrumentos de cooperação internacional e receio de se ter uma lista exaustiva de crimes cibernéticos. Várias delegações falaram também a respeito de os trabalhos do Comitê serem como um “documento vivo”, a ser alterado constantemente já que o processo de construção da Convenção é longo. Nesse sentido, o Brasil e outros Estados expressaram trabalhar em cima de tratados já existentes, aos quais a Convenção de Cibercrimes seria complementar – como a Convenção de Budapeste e a Convenção contra Crimes Organizados Transnacionais. Tendo como base os princípios de direitos humanos, o Brasil advoga que assim como o princípio da soberania, ambos são bases para qualquer cooperação internacional. 

A expectativa por parte da sociedade civil organizada é de que tanto direitos quanto liberdades fundamentais estejam no foco de toda a Convenção. Sendo apenas a primeira sessão dentre as seis previstas para este trabalho, a questão russa certamente traz um contexto a mais para os debates já delicados sobre extensão e consequências dos crimes cibernéticos, o que ao menos inicialmente provoca um certo consenso entre os Estados participantes. O trabalho à frente é árduo e a discussão avança desde o consenso sobre os capítulos do texto da Convenção até o uso de determinados termos na redação.

Há, por fim, a questão de como este instrumento irá dialogar com legislações nacionais e preocupações como a que há no Brasil com o PLS 272/2016, por exemplo, até mesmo com o caso russo e o futuro do quadro geopolítico no leste europeu. A partir deste trabalho colaborativo na ONU, espera-se que a nova Convenção seja um instrumento contemplativo a todos os setores da sociedade, com respeito aos direitos humanos e com as salvaguardas necessárias para o uso das tecnologias de informação e comunicação. A previsão de trabalho do Comitê é que a Convenção seja finalizada e aprovada em 2024.