Boletim Jurídico nº 64 – Outubro de 2023.

Criptografia e backdoors: das limitações técnicas aos desafios sociais.

Os acontecimentos recentes na França refletem o debate atual que agita a Europa, ou seja, o acesso das autoridades policiais ao conteúdo de mensagens criptografadas.

O Ministro do Interior, comentando na rádio o recente ataque à escola secundária de Arras, em 22 de outubro, expressou o desejo de que uma porta dos fundos fosse integrada aos sistemas de mensagens criptografadas de ponta a ponta, o que permitiria contornar a criptografia das mensagens e acessar seu conteúdo.

Segundo o ministro, essa técnica é uma alternativa mais eficaz às soluções atuais, que envolvem os serviços de inteligência invadindo o telefone do suspeito para instalar, por exemplo, spyware.

Essa prática, estritamente regulamentada por lei, falhou durante a vigilância do terrorista que realizou o ataque.

Hoje em dia, muito se fala em "varredura do lado do cliente", uma técnica diferente da interceptação de mensagens ("homem no meio" - HDM).

Um especialista que falou em um seminário organizado sobre o assunto pelo supervisor europeu de proteção de dados em 23 de outubro descreveu essas técnicas da seguinte forma: o "homem no meio" intercepta mensagens durante sua transmissão, enquanto a "varredura do lado do cliente" consiste, figurativamente falando, em ler por cima do ombro do indivíduo enquanto ele está digitando – antes da criptografia – para comparar sua mensagem com o conteúdo de um banco de dados questionável.

Trata-se de uma forma de moderação de conteúdo, realizada no terminal do usuário.

Duas iniciativas que visam utilizar a digitalização do lado do cliente de forma sistemática estão atualmente sendo alvo de muitas reações em Bruxelas e Londres, devido à sua natureza intrusiva.

A nível europeu, é a proposta de regulamentação do CSAM que está a atrair mais críticas.

O texto tem como objetivo combater a pornografia infantil online, detectando a disseminação de conteúdo ilegal.

Embora haja consenso sobre a importância primordial desse objetivo, muitas partes interessadas questionam a eficácia, a necessidade e a proporcionalidade das medidas propostas.

Autoridades de proteção de dados da UE, especialistas de instituições europeias, bem como organizações de proteção à criança, acadêmicos, especialistas em segurança cibernética e sobreviventes de abuso sexual infantil expressaram sérias preocupações.

Além do risco de sobrecarregar as autoridades policiais com falsos positivos, seus críticos temem que seja um passo longe demais em direção a uma sociedade onde cada um de nós viverá com a sensação de vigilância constante.

Para mais de uma centena de pesquisadores de ponta nesta área, é tecnicamente impossível implementar a varredura de conteúdo sem enfraquecer a criptografia de ponta a ponta e infringir a privacidade do usuário.

Muitos especialistas concordam que as soluções tecnológicas de ponta atuais não são suficientemente confiáveis e também são vulneráveis a ataques cibernéticos.

Essa também é a conclusão a que chegou a Apple, que anunciou neste verão que estava abandonando seu projeto de algoritmo, e a Meredith Whittaker, presidente do serviço de mensagens Signal: "Se a polícia consegue entrar, hackers, países hostis, Putin, o governo iraniano e qualquer pessoa que queira causar danos também conseguem (...). Portanto, é essencial que mantenhamos a segurança e a integridade desses sistemas."

Nesse aspecto, o governo britânico parece ter suavizado sua posição em relação à nova lei, promulgada em 26 de outubro, sobre segurança online (“Projeto de Lei de Segurança Online”).

Os ministros, no entanto, não removeram a controversa cláusula de monitoramento, mas condicionaram sua implementação à sua viabilidade técnica.

A Ofcom, entidade reguladora de tecnologia do Reino Unido, mantém o poder de exigir que as empresas de tecnologia desenvolvam softwares de digitalização em consonância com a evolução da tecnologia.

Caso essa tecnologia se torne disponível, resta saber como será avaliado o equilíbrio entre os objetivos repressivos das autoridades e a privacidade dos indivíduos.

 

• Em 12 de outubro, a CNIL aplicou uma multa de 600.000 euros ao Grupo Canal+.

A multa refere-se, em particular, a violações da obrigação de fornecer informações, ao exercício dos direitos das pessoas em causa, a problemas de segurança relativos às senhas dos funcionários da empresa, à subcontratação e ao facto de a empresa não ter notificado a CNIL de uma grave violação de dados pessoais ocorrida em 2020.

• A CNIL está organizando um evento de reflexão ética no dia 28 de novembro intitulado "IA e livre-arbítrio: somos ovelhas digitais?".

Pesquisadores, especialistas e artistas visuais trocarão pontos de vista sobre as principais questões éticas relativas à influência da inteligência artificial nas escolhas individuais.

• Ainda sobre o tema da IA, a CNIL publicou, em 11 de outubro, guias práticos sobre a criação de bases de dados de treinamento para sistemas de IA.

Estas fichas informativas visam ajudar os profissionais a conciliar a inovação com o respeito pelos direitos individuais. Estão abertas à consulta pública até 16 de novembro de 2023.

• A ONG noyb apresentou três queixas na França, em 14 de setembro, contra a Fnac, o aplicativo imobiliário SeLoger e o aplicativo de fitness MyFitnessPal.

Os aplicativos dessas empresas acessariam ilegalmente os dados pessoais dos usuários e os compartilhariam com terceiros para fins de análise sofisticada logo após a abertura do aplicativo, sem informar ou obter o consentimento dos indivíduos em questão.

A ONG planeja apresentar mais queixas contra empresas de aplicativos móveis.

 

Instituições e órgãos europeus

• Após iniciar uma investigação sobre a conformidade da X com o Regulamento de Serviços Digitais (DSA) em 12 de outubro, a Comissão Europeia também está analisando a Meta e o TikTok.

Segundo relatos, as empresas de redes sociais receberam pedidos formais de informações sobre como lidam com conteúdo ilegal e desinformação desde o início da guerra entre Israel e o Hamas.

• Alguns criticam a Comissão Europeia por não respeitar as suas próprias regras relativas à microsegmentação nas redes sociais.

Hoje, ela é acusada pela imprensa, ONGs e parlamentares europeus de ter como alvo certos perfis de internautas em sua comunicação com públicos localizados em países céticos em relação à sua proposta de regulamentação sobre pornografia infantil (CSAM).

• Em setembro de 2023, a Comissão Europeia publicou duas cláusulas contratuais modelo para IA que podem ser utilizadas voluntariamente em contratos públicos de IA, para processamento com ou sem alto risco.

As cláusulas são direcionadas a órgãos públicos que desejam adquirir um sistema de IA desenvolvido por um fornecedor externo.

• O Supervisor Europeu da Proteção de Dados (SEPD) publicou, em 23 de outubro, recomendações para os colegisladores da UE no âmbito dos trílogos relativos ao regulamento da inteligência artificial.

Em particular, defende a inclusão na regulamentação do direito das pessoas afetadas pela utilização de sistemas de IA de apresentarem queixa a uma autoridade competente e de beneficiarem de um recurso judicial efetivo contra as suas decisões.

Ele reitera ainda seu apelo para que as autoridades de proteção de dados sejam designadas como autoridades nacionais de supervisão.

Ele também defende a necessidade de uma abordagem europeia, particularmente em casos transfronteiriços com impacto significativo, e a proposta de criação de um "Escritório Europeu de IA" apresentada pelo Parlamento Europeu.

• O CEPD também emitiu um parecer em 11 de outubro sobre duas diretrizes propostas relacionadas às regras de responsabilidade da IA.
• O Conselho Europeu de Proteção de Dados (CEPD) e o Supervisor Europeu para a Proteção de Dados (SEPD) adotaram, em 19 de setembro, um parecer conjunto sobre a proposta de regulamento relativo a regras processuais adicionais para a aplicação do RGPD.

Esta proposta visa garantir a implementação de medidas corretivas rápidas para indivíduos em casos transfronteiriços.

O CEPD e o CEPD apelam a uma harmonização abrangente dos requisitos de admissibilidade, sugerem a melhoria da construção de consenso através de um maior envolvimento das autoridades de supervisão relevantes e convidam os colegisladores a manter a abordagem atual relativamente ao direito das partes a serem ouvidas no processo de resolução de litígios.

• O CEPD e o CEPS emitiram um parecer conjunto em 17 de outubro sobre a proposta de regulamento relativo ao euro digital.

Os reguladores aprovam particularmente a manutenção da opção para os usuários pagarem em euros digitais ou em dinheiro.

No entanto, fazem diversas observações para garantir que apenas os dados pessoais necessários sejam processados, em particular no contexto do combate à fraude, e para evitar a centralização excessiva de dados pessoais pelo Banco Central Europeu ou pelos bancos centrais nacionais.

• Durante a sua sessão plenária de outubro, o CEPD escolheu o tema da sua terceira ação coordenada de implementação do RGPD: como as empresas implementam o direito de acesso dos indivíduos.

Esta ação está prevista para 2024 e será sujeita a acompanhamento específico a nível nacional e europeu.

• Em 31 de outubro, a Autoridade Norueguesa de Proteção de Dados (DPA) emitiu um comunicado indicando que sua decisão contra a Meta seria estendida à UE/EEE.

O comunicado de imprensa afirma que o CEPD acaba de aprovar a extensão permanente da proibição norueguesa ao marketing comportamental no Facebook e no Instagram para toda a Europa.

• Na sequência das revelações e da investigação do Parlamento Europeu sobre o spyware Pegasus, um relatório da Amnistia Internacional e da Colaboração Europeia de Investigação (EIC) examina o caso Predator e destaca a incapacidade da UE em regular o uso abusivo de spyware no seu próprio território.

O relatório centra-se num grupo chamado Intellexa Alliance, com sede na Europa, que "desenvolveu, operou e comercializou" um "conjunto de produtos de monitorização" entre 2007 e 2022. 

Esses produtos possibilitam o envio de tentativas silenciosas de infecção para usuários de provedores de serviços de internet parceiros, ou em todo um país, caso o operador do spyware tenha acesso direto ao tráfego da internet.

• Em 6 de setembro, representantes da Indústria Farmacêutica Europeia (EPFIA) opuseram-se à introdução de um mecanismo de exclusão para a coleta de dados de saúde para uso secundário na proposta de regulamentação sobre o futuro Espaço Europeu de Dados de Saúde (EHDS).

A posição do grupo reflete as preocupações de pesquisadores e desenvolvedores de tecnologia, que temem que a introdução da opção de exclusão (opt-out) no sistema comprometa o uso de dados para pesquisa e inovação.

• Em um comunicado de imprensa datado de 5 de setembro de 2023, o TikTok anunciou que está reforçando a proteção de dados de seus usuários europeus.

A empresa está planejando dois novos centros de dados na Europa, além daquele em Dublin.

O TikTok também contratou uma empresa de segurança europeia terceirizada para realizar uma auditoria independente de seu processamento de dados.

 

Notícias dos países membros da Europa.

• A Autoridade Belga de Proteção de Dados (APD) publicou uma lista de verificação em 20 de outubro para ajudar as organizações a garantir que suas práticas relativas a cookies e outros mecanismos de rastreamento estejam em conformidade com os regulamentos vigentes.

O documento permite que você analise boas e más práticas passo a passo.

A APD lembra-nos que apenas os cookies estritamente necessários estão isentos de consentimento e que todas as outras categorias de cookies só podem ser instaladas e lidas se o utilizador tiver dado o seu consentimento prévio, livre, específico, informado, inequívoco e ativo.

• O Tribunal Distrital de Amsterdã adotou uma decisão importante em 18 de outubro em um processo sumário relativo à tecnologia de publicidade (AdTech) e aos cookies de rastreamento.

A empresa francesa Criteo não pode simplesmente invocar a obrigação contratual de seus clientes (editores de sites) de obter o consentimento dos usuários da internet: ela também é responsável por obter o consentimento válido para a instalação de cookies, caso contrário (e na ausência de consentimento obtido pelo editor), a instalação de cookies é ilegal.

A decisão baseia-se na Convenção de Roma II (jurisdição do Tribunal), na Diretiva "ePrivacy" e no RGPD.

O tribunal reconhece a decisão da CNIL e rejeita a alegação da Criteo de que o autor não havia configurado seu navegador para rejeitar cookies.

A empresa também rejeita o argumento de que as exigências da autora prejudicariam seu modelo de negócios, considerando que os interesses de privacidade da autora prevalecem.

O tribunal aplica ainda a sentença do Tribunal de Justiça no caso Österreichische Post (C-154/21), determinando que a Criteo deve fornecer uma visão geral completa dos terceiros com quem os dados foram compartilhados.

• A Autoridade Grega de Proteção de Dados (DPA) multou a Organização de Transporte Urbano de Atenas (OASA) em 50.000 euros por violar o Artigo 5(1)(e) do RGPD, porque o seu sistema de bilhetes eletrónicos não cumpria o princípio da limitação do armazenamento.

Ela repreendeu ainda a OASA por violar o Artigo 35(1) do RGPD, uma vez que a sua avaliação de impacto sobre a proteção de dados para o seu sistema de bilhetes eletrónicos foi insuficiente.

• A Autoridade Sueca de Proteção de Dados (APD) multou o Conselho de Educação da Cidade de Estocolmo em 800.000 coroas suecas (aproximadamente 68.324 euros) por usar câmeras de vigilância em uma escola em violação do Artigo 5(1)(a), (c), Artigo 6(1) e Artigo 13 do RGPD.
• A Autoridade Italiana para a Proteção de Dados (APD) multou uma associação de advogados italiana em 20.000 euros por publicar em seu site informações sobre dois reclamantes sem uma base legal legítima, de acordo com as disposições combinadas do Artigo 10 do RGPD e do Artigo 2º do Código de Privacidade italiano.
• A Autoridade Croata de Proteção de Dados (APD) aplicou a sua maior multa administrativa de sempre, no valor de 5.470.000 euros, à EOS Matrix doo, uma agência de cobrança de dívidas, por múltiplas violações do RGPD (Regulamento Geral sobre a Proteção de Dados).
• No Reino Unido, a Clearview AI ganhou o recurso contra a multa imposta pela Autoridade de Proteção de Dados do Reino Unido (DPA) perante o Tribunal de Primeira Instância (FTT).

O tribunal decidiu que o "RGPD do Reino Unido" não se aplicava, argumentando que as atividades de processamento da Clearview envolviam a prestação de um serviço em nome de agências de aplicação da lei localizadas em um país terceiro, fora do âmbito do RGPD e do "RGPD do Reino Unido".

O tribunal considera ainda a Clearview e os seus clientes como responsáveis conjuntos pelo tratamento dos dados para este fim repressivo.

O raciocínio do tribunal gerou muita discussão entre especialistas em proteção de dados a respeito da qualificação de controladores conjuntos e da não aplicação da legislação europeia e/ou britânica ao caso específico.

• No início de outubro, o chatbot de IA do Snap chamou a atenção da ICO.

A APD anunciou que emitiu uma notificação preliminar de execução contra a Snap pelo que descreve como "uma possível falha na avaliação adequada dos riscos à privacidade representados pelo seu chatbot 'My AI'".

Um número crescente de autoridades de proteção de dados, como as do Reino Unido e da Itália, estão assumindo as responsabilidades dos reguladores de IA.

 

• A Global Privacy Assembly (GPA) realizou sua conferência anual em meados de outubro nas Bermudas.

As autoridades debateram a aplicação das normas de privacidade à IA e, em 20 de outubro, adotaram uma resolução relativa à IA generativa.

A resolução surge no momento em que os líderes do G7 adotaram, em 30 de outubro, princípios orientadores internacionais sobre inteligência artificial (IA) e um código de conduta voluntário para desenvolvedores de IA, como parte do processo de Hiroshima sobre IA.

• Os Estados Unidos também publicarão um decreto sobre IA e um manual de gerenciamento de riscos de IA em 30 de outubro, enquanto o Reino Unido organizará uma cúpula de segurança de IA em 2 de novembro.
• O gabinete do Comissário de Privacidade da Nova Zelândia publicou um guia sobre o desenvolvimento e utilização de sistemas de inteligência artificial em conformidade com os Princípios de Privacidade (PPP).
• O Canadá também publicou, em setembro, um código de conduta para desenvolvedores e gestores de sistemas avançados de IA generativa.

O código identifica medidas a serem implementadas para mitigar os riscos associados a esses sistemas, com base em seis princípios fundamentais: responsabilidade, segurança, justiça/equidade, transparência, supervisão humana e validade/robustez dos sistemas.

• Estados Unidos: Procuradores-gerais de 41 estados americanos uniram forças para entrar com uma ação judicial contra a Meta, alegando que suas plataformas de mídia social, Instagram e Facebook, são viciantes e prejudiciais para crianças.

O processo acusa a Meta de coletar repetidamente e sistematicamente informações sobre crianças menores de 13 anos e de não informar ou obter o consentimento dos pais em relação ao uso dessas informações.

• A Califórnia publicou um projeto de lei em 12 de outubro de 2023 que regulamenta as empresas de corretagem de dados e altera a lei existente de 2018 (CCPA).

O texto estipula que os corretores de dados devem se registrar na agência de privacidade e fornecer informações mais detalhadas sobre solicitações individuais, a coleta de determinadas informações e a auditoria obrigatória de sua conformidade com a lei.

O projeto também cria um mecanismo que permite aos indivíduos solicitar que todas as corretoras de dados excluam suas informações pessoais.

• O serviço de testes genéticos 23andMe sofreu uma violação de dados.

Um hacker publicou informações genéticas de quatro milhões de usuários no fórum de crimes cibernéticos BreachForums.

Este incidente ocorre após outro vazamento que aconteceu no início de outubro.

• Nos Emirados Árabes Unidos, o Ministério da Inteligência Artificial, Economia Digital e Aplicações de Teletrabalho publicou um documento intitulado "Estrutura de Autogovernança para um Metaverso Responsável".