O Brasil precisa pensar além da espionagem
A vulnerabilidade da segurança dos dados no país reforçou a importância do Marco Civil da Internet – lei que vai definir a democracia e a cidadania na sociedade da informação.
Texto Áurea Lopes | Fotos Renato de Aguiar
ARede nº 93 – setembro/outubro de 2013
Um belo dia de julho, o mundo acorda sabendo que não existem mais segredos para os Estados Unidos. A agência de segurança estadunidense, desprovida de todo e qualquer princípio ético, mete o pé na soberania de várias nações e vergonhosamente espiona pelos buracos de celulares e computadores de milhões de cidadãos do planeta. O atentado dos EUA ao estado de direito democrático despertou o Brasil, entre outros países, para a vulnerabilidade dos sistemas de informação governamentais. E, finalmente, concedeu ao Marco Civil da Internet a importância que a sociedade civil organizada vinha tentando mostrar. Nesta entrevista, o especialista em direito internacional Luiz Fernando Moncau fala dos desafios impostos ao governo brasileiro, que não está preparado para proteger seus dados e os dados dos seus governados, apesar de “ter capacidade técnica” para isso.
Moncau chama atenção, também, para a necessidade de se trabalhar em várias frentes, como a aprovação da Lei de Proteção de Dados Pessoais e a valorização do uso de software livre, de código aberto, “porque se não for livre, não há como assegurar que o programa não tem nenhuma linha de código invisível, que permita à empresa fornecedora ter acesso aos dados”.\
Espionagem não é uma prática nova. O que o uso da tecnologia trouxe de novidade, nesse caso da agência estadunidense?
Luiz Moncau – A tecnologia não faz nada sozinha. É um instrumento por meio do qual as pessoas agem, da mesma forma que agem sem o uso da tecnologia. Mas a tecnologia potencializa as ações. Se você ofende alguém verbalmente, em público, dez pessoas que estão por perto escutam. Agora, se você posta uma ofensa na internet, cem pessoas, um milhão, “escutam”. Da mesma forma, no sentido contrário, a tecnologia potencializa o acesso à informação. De fato, a espionagem feita pela NSA não é novidade, a novidade é a amplitude da bisbilhotagem, a falta de cuidado dos governos com suas informações sensíveis e a forma indiscriminada como a espionagem é feita. Todo mundo poderia imaginar que existisse espionagem em alguns casos, por interesses comerciais específicos, por suspeita de terrorismo. Mas todos os usuários espionados, tendo seus dados coletados, isso foi inusitado.
Pelo que foi revelado, a espionagem extrapolou a esfera da segurança.
Moncau – Sim, porque eles estão espionando, não em um caso de guerra… não foram grampear um inimigo que está tentando destruí-los. Estão espionando os aliados, espionando todo mundo. Diplomaticamente, isso é bem complicado. Teve até o caso de espionagem sobre a atuação do Brasil no Conselho de Segurança da Organização das Nações Unidas, na época em que foram sancionadas medidas contra o Irã. Isso não tem nada a ver com terrorismo. O próprio Edward Snowden apontou que as espionagens têm muito mais a ver com interesses econômicos do que com terrorismo. Ou seja, estão quebrando regras que regem o estado democrático de direito e criando uma exceção. Que na verdade não é exceção, porque vimos uma prática para todo mundo, em todos os lugares.
O que contribuiu mais para a NSA chegar onde chegou: a sofisticação da tecnologia, capaz de captar informações tão sigilosas, ou a vulnerabilidade dos sistemas dos governos espionados?
Moncau – Tudo tem que ser analisado junto. Fazendo uma analogia com a propriedade intelectual, é sempre uma briga de gato e rato. Um tenta proteger; o outro tenta contornar a restrição que dá acesso aos dados. Nesse caso, o que impressiona mais é ver o governo brasileiro completamente despreparado para lidar com a questão. Circularam informações do tipo: o alto escalão brasileiro tem sistemas de criptografia no celular mas não usa. Declarações que tecnicamente não têm nada a ver… um ministro falou que o Brasil já estava se preparando, desenvolvendo um antivírus 100% brasileiro. Aí você pensa: se o nível de conhecimento é esse, vai mal.
O episódio mostrou como a segurança de dados, sejam pessoais ou governamentais, é precária no Brasil. O que falta? Técnica, legislação, cultura?
Moncau – O Brasil tem capacidade técnica para se proteger nessa área. Existem vários órgãos de ponta preparados para cuidar de questões como essa: o Serpro, por exemplo. Mas de fato há dados privados dos cidadãos que hoje são públicos. Quem quiser, pode ter acesso. Você consegue comprar um CD com declarações de imposto de renda das pessoas. Veja o caso do Tribunal Superior Eleitoral (TSE), que assinou um acordo [depois suspenso] para repassar os dados dos cidadãos ao Serasa. Existem ameaças aos nosso dados pessoais que não vêm só de espionagens estrangeiras, não vêm só das empresas. Há também uma falta de cuidado do governo brasileiro com esses dados. Falta reflexão sobre a questão. E falta também legislação, coisa que outros países têm há 30 anos. Os Estados Unidos, por exemplo, têm uma legislação de 1974 ou de 1975, que já trata da questão da privacidade.
Quais são as nossas proteções aqui?
Moncau – Nós temos a Constituição Federal, que diz que a intimidade e a vida privada são invioláveis, estabelecendo direitos como a inviolabilidade das comunicações, por exemplo. Temos o Código de Defesa do Consumidor. E existe um anteprojeto de lei de proteção a dados pessoais, de iniciativa do Ministério da Justiça, que está tramitando no executivo há anos. Vai para um ministério, alguém pede vistas, volta pra outro… mas continua em discussão.
Há sistemas de vigilância de internet similares em funcionamento no Brasil?
Moncau – Quando veio à tona o caso da NSA, começou-se também a perguntar o que outras agências estavam fazendo. O jornal Le Monde divulgou que a agência de segurança francesa também colaborava com a NSA. O jornal inglês The Guardian denunciou que lá também havia seus programas. No Brasil, falou-se do programa de monitoramento Mosaico, da Agência Brasileira de Inteligência (Abin), sobre o qual há pouquíssima informação disponível ao público. Esse programa é usado para monitorar manifestações, por exemplo. Mas não consta que seja um sistema de captação de dados. Foi usado na Jornada Mundial da Juventude, para mapear os riscos. Até saiu em um jornal brasileiro um painel de situações consideradas ameaças ou riscos – terrorismo, risco pequeno; tumulto, risco médio etc. Fiquei até espantado porque nesse painel estava o item “sociedade civil organizada”… surpreendente, estar lá, no meio dos riscos! Eu acho que até isso devia ser pensado, neste momento. O que é realmente um problema e o que não é, que não justifique ser objeto de polícia, de investigação da Abin.
O que o Marco Civil pode fazer por essa questão?
Moncau – O Marco Civil é extremamente importante. Traz algumas disposições sobre privacidade, coloca a proteção à privacidade como um princípio a ser respeitado. Com o Marco Civil em vigor, por exemplo, a chance de esse convênio do TSE com a Serasa ser firmado teria sido bem menor. O Marco Civil tem um papel importante de orientar o governo sobre como agir e orientar o Judiciário a julgar. Porém, na questão da privacidade, a lei mais importante vai ser a Lei de Proteção aos Dados Pessoais, que fala como as empresas devem tratar os dados, o que é dado público, o que é dado privado, o que pode ser feito com os dados coletados.
Cidadãos e governo brasileiros dispõem de recursos legais para cobrar punição, ou indenização, dos Estados Unidos?
Moncau – Tem uma questão que afeta a internet como um todo, não só no Brasil, mas no mundo. As regras são diferentes em cada país. Certas coisas eu posso dizer aqui, mas não posso dizer no Irã, por exemplo. E não tem como aplicar a lei de um país fora do seu território. Nesse caso da espionagem feita por um governo, uma agência governamental, o que se configura é um conflito diplomático. Não existe uma legislação aplicável, um recurso jurídico para pedir uma indenização à NSA. Mas o caso já está reverberando nas esferas diplomáticas.
Existe um organismo internacional onde os países poderão se unir para discutir esse tema, um fórum global?
Moncau – Essas questões vão ser discutidas nos fóruns mundiais de governança da internet, na União Internacional de Telecomunicações (UIT), na Organização das Nações Unidas, em todos os lugares onde há discussões diplomáticas de interesse internacional. Do ponto de vista legal, de como enquadrar essa conduta de forma a ter uma punição, eu só vi um caso interessante, na Inglaterra. Uma organização da sociedade civil entrou com uma ação em um tribunal que eles constituíram especialmente para esses casos, uma estrutura onde os cidadãos podem peticionar contra abusos do estado pela prática de monitoramento dos cidadãos. Eles cobraram do governo inglês que apurasse os fatos.
Como você avalia a reação do governo brasileiro?
Moncau – O governo acertou, em linhas gerais, ao demonstrar claramente que o problema é muito sério, não pode acontecer, exigir explicações etc. No âmbito interno, a revelação da espionagem repercutiu reforçando a importância do Marco Civil da Internet. Parlamentares e ministros levantaram a voz para dizer que a proteção dos dados é importante.
O que você acha da proposta de armazenar os dados no Brasil?
Moncau – Essa saída tem diversos problemas: não vai nos proteger de invasões estrangeiras, não nos preservará em relação a questões com as empresas e ainda vai assegurar que o governo tenha acesso a esses dados mais facilmente e possa exercer mais pressão sobre a estrutura que estiver funcionando aqui. Já acontecem discussões bastante acirradas, que colocam as empresas estrangeiras em confronto com o governo. Quando há uma investigação e o Ministério Público solicita informações, essas empresas dizem que os dados não estão no Brasil, que estão nos EUA, por exemplo, onde fica a sede da empresa. Dizem que aqui só cuidam, por exemplo, de publicidade, que não armazenam dados. Ou seja, assim, a entrega desses dados fica submetida às regras estrangeiras. Além disso, armazenar os dados no Brasil traria uma série de outras consequências. Imagina um estudante que crie um serviço superinovador, com potencial de se tornar uma nova rede social, um novo aplicativo para celular. Ele vai precisar contratar servidores para o seu desenvolvimento. E os servidores mais baratos estão nos EUA. Mas, por lei, ele será obrigado a manter os dados aqui. Aí se cria um custo que não existe hoje. Muita gente tem um blog que fica em outro país e não custa nada. Então, para as empresas que estão começando, pode afetar, pode inviabilizar um empreendimento. Para as empresas que estão fora do país, essa medida pode resultar no bloqueio dos IPs brasileiros porque as empresas estrangeiras não vão querer cumprir essa regra. Imagina se todos os países fizerem isso. Essa balcanização da rede está sendo discutida não só aqui, mas em outros países também. É um efeito Snowden. O que preocupa é que isso não tem nada a ver, seria colocar um bode dentro do Marco Civil. É mais um setor que vai se opor. As empresas de internet não vão apoiar esse tipo de dispositivo, o que vai gerar mais dificuldade para a aprovação do projeto.
Qual a tarefa agora, para evitar novas surpresas?
Moncau – É preciso trabalhar em várias frentes. Não vamos resolver todo o problema com o Marco Civil, nem com a Lei de Proteção de Dados Pessoais. Não é porque você faz uma lei proibindo o roubo que as pessoas vão parar de roubar. Com as leis, você vai ter mecanismos para responsabilizar quem rouba. Esse é apenas o primeiro passo de uma série. As empresas que lidam com informação sensível precisam entender que devem usar criptografia, armazenar dados em servidores próprios, talvez até fora da rede. É fundamental capacitar as pessoas para a visão de segurança. Toda essa movimentação de computação em nuvem deve dar uma arrefecida, para se pensar a respeito. O governo tem que aprender a cuidar dos dados de todos nós. E não se trata apenas de espionagem. O Brasil, nesses próximos dois, três anos, pode definir regras que vão ter impacto para gerações. O Marco Civil, a neutralidade de rede, podem definir a democracia na informação, a preservação de direitos para os próximos 30, 40 anos. É uma responsabilidade que existe nas associações que trabalham com TI, nos parlamentares, nas empresas de telecom que estão tentando zelar por seus negócios mas que também deveriam zelar pelos interesses públicos. Com uma mídia tão concentrada, com tanto poder na mão de tão poucos, é o momento de abrir ao máximo essas reflexões. A gente precisa ter cuidado para não errar agora.
A criptografia vai ganhar relevância?
Moncau – A criptografia vai crescer, sim. Pessoas que têm afinidade com tecnologia e nunca se preocuparam com isso já estão começando a se movimentar. Todo mundo que conhecia, mas nunca tinha usado, está procurando saber qual é a tecnologia, qual é a fonte, como funciona.
Existe criptografia livre?
Moncau – Existe e é importante que seja livre. Porque se não for livre, não há como assegurar que o software não tem nenhuma linha de código invisível que permita à empresa fornecedora ter acesso aos dados. O ideal é ser livre. Eu era motivo de piada quando falava que o governo precisava usar software livre para proteger suas informações. Um amigo meu foi checar com uns conhecidos nos EUA e descobriu que lá a maioria dos sistemas de segurança são em software livre. Porque quando você tem acesso a todos os códigos sabe se mandam armazenar seus dados, remeter para outro servidor. No software de código aberto, você consegue ver tudo.
Em muitos casos, a proteção começa pelo dono dos dados. Não cabe também uma reflexão sobre a cultura de exposição na internet?
Moncau – Costumo fazer uma analogia com a criança que aprende a se vestir para sair na rua. Na internet, você precisa aprender a proteger ao menos as partes mais íntimas, se não dá pra proteger tudo. Não dá pra sair na rua sem ser visto. Não dá pra usar a internet sem se expor. Mas dá pra proteger alguma coisa. A gente tem a cultura da exposição, hoje. Tá muito arraigado nas gerações mais novas, mais acostumadas a se expor, a tornar pública uma parte grande de suas vidas. Mas isso é uma questão pra ser ensinada.
Muita gente é adepta da tese de que não há problema em ter seus dados acessados porque não tem nada a esconder.
Moncau – Esse é um problema de falta de consciência sobre os danos que essa exposição pode trazer a si mesmo e à coletividade. Alguns direitos são muito abstratos e vão sendo limitados aos pouquinhos, sem que se perceba o impacto. Um exemplo que ajudaria a compreender é o serviço de proteção ao crédito. Quando a informação sobre a sua inadimplência em relação a um dos fornecedores – TV a cabo, banco – é compartilhada com todos, você fica com o seu nome sujo, não consegue crédito. Outro exemplo clássico: se a empresa do plano de saúde souber que uma pessoa está pesquisando no Google informações sobre câncer, talvez não vá querer aceitar esse contrato. Por isso, o perigo é associar as informações sobre a mesma pessoa, olhar os dados em conjunto. Uma coisa que os burocratas do TSE não perceberam quando estavam firmando o acordo com o Serasa. Eles pensaram que nome da mãe, óbito, situação cadastral etc. eram dados inofensivos. Podem ser inofensivos isolados. Mas em um banco de dados, relacionados com outras informações, cruzados, processados, permitem saber muitas coisas sobre as quais talvez nem a própria pessoa tenha consciência em relação a suas preferências, hábitos, crenças, posições ideológicas.
Uma pessoa que diz que não deve nada, de tanto ser bombardeada com ofertas dirigidas, pode acabar devendo.
Moncau – Em outros países, a questão da publicidade dirigida tem sido fortemente debatida e aqui não. O vendedor sabe tudo sobre você e com isso é capaz de oferecer o produto que você deseja de um jeito que você fica ainda mais vulnerável ao apelo publicitário. Afeta o inconsciente de uma forma que a pessoa não consegue resistir. Do ponto de vista do consumidor, tem muita coisa para ser discutida também.
