Reino Unido
--
Arranjos Internacionais: Five Eyes; Regime de Wassenaar; Convenção de Budapeste sobre o Cibercrime;
Modelos Regulatórios: Obrigação de Assistência Específica
Introdução
O Reino Unido possui um conjunto de diplomas normativos que podem interferir diretamente no desenvolvimento, aplicação e utilização de criptografia. O Regulation of Investigatory Powers de 2000 possui uma seção inteira dedicada à intercepção de conteúdos criptografados. Uma iminente regulamentação da seção 253 do Investigatory Powers Act de 2016 pode afetar ainda mais a utilização da criptografia, especialmente por provedores de conexão e de aplicação.
Regulação
São dois os diplomas normativos relativos ao poder de investigação/interceptação do Estado: Regulation of Investigatory Powers Act de 2000 e Investigatory Powers Act de 2016. Ainda que este último não regule de forma explícita a criptografia, alguns de seus dispositivos podem afetar seu desenvolvimento e implementação.
Regulation of the Investigatory Powers Act 2000
O Regulation of the Investigatory Powers Act (RIPA) de 2000, de acordo com a descrição estabelecida por seu próprio preâmbulo, é uma lei que prevê a interceptação das comunicações, a aquisição e a divulgação de dados relativos às comunicações. O uso de fontes secretas de inteligência humana e a aquisição dos meios pelos quais os dados eletrônicos protegidos por criptografia ou as senhas podem ser desencriptadas ou acessadas.
A parte III do RIPA é inteiramente dedicada ao acesso à informações encriptadas. A lei estabelece um mecanismo de key disclosure, em que, mediante notificação específica, o notificado deve fornecer quaisquer mecanismos possíveis para auxiliar a obtenção da informação encriptada em forma legível. Caso esteja comprovado que o notificado possui a chave em questão e não a forneceu após notificado, ele pode ser indiciado criminalmente, sendo passível de pena de reclusão;
O poder de desencriptar foi efetivado em 2007, com a publicação de um Investigation of Protected Electronic Information: Code of Practice (atualizado em 2010). O desenvolvimento e implementação de sistemas de criptografia forte (ponta a ponta), no entanto, restringiu a eficácia da lei, uma vez que tornou tecnicamente impossível o fornecimento das chaves pelo provedor de aplicação. Isto ensejou o debate sobre um novo diploma normativo relativo à vigilância de comunicações privadas.
Investigatory Powers Act 2016
O Investigatory Powers Act (IPA), que entrou em vigor em 30 de dezembro de 2016, obriga os provedores de conexão a armazenarem as atividades online (leia-se histórico de navegação) de seus usuários pelo período mínimo de 12 meses. Ademais, se expedida uma notificação de retenção (issue notice), os mesmos provedores podem ser solicitados a armazenar dados de comunicações de seus usuários também.
Com relação à criptografia, o diploma prescreve, na seção 253, a figura das Technical Capabilities Notices (TCN), uma notificação que pode ser solicitada por determinados órgãos oficiais que solicita aos provedores a “remover a proteção eletrônica”. Vale dizer que notificação pode ser aplicada a pessoas/empresas fora do UK, mas que mantenham atividades no território. As TCN são emitidas pelo secretary of the state, e é necessária autorização judicial para sua emissão.
Apesar disto, o IPA indica que diversos fatores devem ser levados em consideração de forma a definir necessidade e adequação da aplicação da medida, dentre eles: (i) a viabilidade técnica da remoção da proteção eletrônica; (ii) o número de usuários que podem ser afetados por isto; e (iii) o provável custo do cumprimento da TCN.
O IPCO (Investigatory Powers Commision Office) é órgão responsável pela fiscalização da lei, de forma a garantir que sua aplicação se encontra dentro dos limites do direito.
Ademais, vale ressaltar que, na Parte 5 e no Capítulo 3 da Parte 6 da lei, há diversos dispositivos referente à possibilidade da obtenção de mandados de interferência de equipamentos e hacking de dispositivos.
É de extrema relevância ressaltar que a lei é ainda muito recente, o que restringe a possibilidade de conhecer a extensão da possibilidade de sua aplicação. Uma consulta pública foi realizada para fins da elaboração de Codes of Practice relativos à IPA, mas, até o momento de realização desta pesquisa, as versões finais destes documentos não foram publicadas.
Posicionamento
A organização não-governamental de defesa de liberdades civis Big Brother Watch realizou uma pesquisa, em 2010, sobre utilizações abusivas do RIPA. A organizou descobriu que a lei foi utilizada em 8.575 operações de vigilância distintas, por 372 autoridades diferentes entre 2008 e 2010. De acordo com o relatório da pesquisa, a lei fora utilizada para o monitoramento de cidadãos suspeitos de dog fouling — levar o cachorro para passear e não recolher a sujeira.
Em 2014, o editor de política do jornal britânico The Sun, Tom Newton Dunn, registrou uma reclamação oficial contra a Polícia Metropolitana , que havia utilizado o RIPA para obter os registros telefônicos de Dunn para, supostamente, identificar as suas fontes referentes à sua cobertura do escândalo “Plebgate”.
Em 2017, houve notícias de uma suposta solicitação do governo UK para que o Whatsapp fornecesse meios de acesso às mensagens criptografadas. Até o final da elaboração desta pesquisa, não foram encontrados documentos ou pronunciamentos sobre tal solicitação, apenas algumas notícias. Vale dizer que o Whatsapp utiliza criptografia ponta a ponta em seu sistema, e é possível que o caso possa sinalizar para a abrangência e os limites da Technical Capability Notices e da IPA como um todo.
Em 2019, oficiais dos governos da Australia, do Reino Unido e dos Estados Unidos publicaram uma carta aberta dirigida ao Facebook, pedindo que a empresa desistisse de seus planos de implementar criptografia ponta-a-ponta eu seus outros serviços de mensagem instantânea, como o chat do Instagram e do Facebook. A carta foi recebida negativamente por especialistas.
Em janeiro de 2022, o governo britânico iniciou uma campanha de pressão massiva, com financiamento público de mais de meio milhão de libras, que com o objetivo de impedir a implementação de novas ferramentas de criptografia pela empresa Meta (antiga Facebook). A campanha “No Place to Hide” (Sem Lugar para se Esconder — tradução livre), apoiada por várias instituições de caridade para crianças, convocou as empresas de mídia social a pararem de implementar criptografia forte até que consigam provar a segurança das crianças. Diversos especialistas em cibersegurança e ativistas de direitos humanos ao redor do mundo, em carta pública, dizem que essas e outras táticas de alarmismo estão sendo usadas para enganar o público, trazendo falsos argumento para enfraquecer a criptografia.
Encontrou algum erro ou quer colaborar com alguma informação?
Entre em contato pelo e-mail: cripto.fgvcepi@gmail.com
Quer conferir outras pílulas? Clique aqui!
Siga o CEPI da FGV Direito SP nas redes sociais!
Você pode também receber por e-mail novidades sobre eventos, pesquisas e produtos do CEPI! Cadastre-se em nosso mailing aqui.
Para saber mais sobre o CEPI, acesse o nosso site.
