Pegasus - spyware que desafia a lei.

Legal Watch nº 37 – Julho de 2021

Pegasus – spyware que desafia a leiEm julho, o projeto Pegasus revelou o impacto sem precedentes da vigilância do spyware israelense, que pode ouvir e extrair dados de smartphones com iOS ou Android.

Esta é a conclusão de uma investigação internacional conduzida pela ONG Forbidden Stories, com a ajuda da Anistia Internacional e do Citizen Lab da Universidade de Toronto, além de 17 grandes veículos de comunicação internacionais, incluindo Le Monde e The Guardian.

Embora o software já tenha sido discutido no passado, informações recentes fornecem uma melhor compreensão da extensão da vigilância possibilitada sem o conhecimento dos usuários de smartphones.

Cerca de 50.000 números de telefone alvo foram selecionados, incluindo mil na França, referentes a atores da sociedade civil, jornalistas e políticos.

Entre os 55 países listados como clientes da NSO, que comercializa o software, estão Arábia Saudita, Emirados Árabes Unidos, Índia, Hungria, Ruanda, México e Cazaquistão.

A NSO afirma seguir uma política de ética rigorosa e só lida com agências de inteligência e aplicação da lei para fins de combate ao crime, terrorismo, tráfico de drogas e pedofilia.

Essas alegações, bem como as garantias dadas pelo proprietário do software, levantam questões práticas e legais.

Mesmo que as garantias sejam tomadas antes do marketing, quais são os meios reais de garantir o cumprimento da estrutura contratual entre a NSO e seus clientes oficiais, e seu uso por partes não autorizadas e contra "alvos" políticos ou da sociedade civil, por exemplo?

A natureza particularmente intrusiva e indetectável desta tecnologia levanta questões sobre a regulamentação das técnicas de vigilância no contexto internacional e europeu.

Na Europa, embora as autoridades policiais tenham poderes investigativos específicos, estes são estritamente regulamentados pelo RGPD e pelas leis nacionais que transpõem a diretiva europeia "polícia-justiça" de 27 de abril de 2016.

Na França, este é o Capítulo XIII da Lei de Proteção de Dados.

O processamento de dados realizado mais especificamente pela segurança do Estado ou pela defesa nacional está excluído do escopo da Diretiva Europeia, mas continua sujeito na França à Lei de Proteção de Dados.

A introdução clandestina de spyware em sistemas de computador só pode ser autorizada mediante disposições legais específicas.

A matéria é regulamentada pelas leis n.º 2015-912 de 24 de julho de 2015 relativas à inteligência e n.º 2017-1510 de 30 de outubro de 2017, conhecidas como lei SILT.

A CNIL também ressalta que deve haver elementos que representem uma ameaça concreta à integridade física, à vida, à liberdade das pessoas ou um ataque aos interesses fundamentais da nação.

Por outro lado, se os princípios da lei se aplicarem, a CNIL não tem poder para controlar a implementação dos arquivos dos serviços de inteligência.

Em seus recentes pareceres sobre o projeto de lei sobre prevenção de atos de terrorismo e inteligência (agora votado), reiterou seu pedido de poder exercer seus poderes de controle de forma adaptada às novas técnicas de investigação.

Ela também pediu o fortalecimento dos poderes da Comissão de Controle de Técnicas de Inteligência (CNCTR).

Tanto a CNIL quanto o Comitê Europeu de Proteção de Dados enfatizam a importância de uma supervisão eficaz no campo da inteligência e da segurança do Estado, particularmente no contexto de um processamento cada vez mais intrusivo, combinado com o desenvolvimento de tecnologias de ponta que ignoram fronteiras.

Esses requisitos estão entre os critérios citados pelo Comitê em suas recentes recomendações sobre as garantias essenciais a serem fornecidas por países terceiros à UE em termos de vigilância.

Eles visam proteger os dados europeus de interferências desproporcionais em caso de transferência internacional.

Dada a crescente facilidade com que os dados de comunicação podem ser interceptados, surgem questões mais fundamentais sobre as medidas técnicas que devem ser tomadas para limitar esses riscos.

Em seu comunicado de imprensa de 9 de março de 2021 sobre o Regulamento "ePrivacy", o Comitê Europeu enfatiza a necessidade de manter a confidencialidade dos dados durante todo o processo de comunicação e a criptografia de dados.

Na mesma perspectiva, surge a questão da conveniência de manter “back doors” nos terminais de comunicação para fins de inteligência, sob o risco de assistir a um aumento de abusos e apropriações indevidas de dados fora de qualquer controlo.

E também

França:

A CNIL publicou sua posição sobre a extensão obrigatória do “passe sanitário” em determinados locais.

Sem questionar seu princípio, ele lembra a necessidade de limitar seu uso em um contexto de emergência sanitária comprovada, solicita uma avaliação do sistema pelo parlamento no outono e destaca os aspectos éticos do problema, que vão além das questões de proteção de dados.

Ela apela ao legislador para que leve em consideração “a risco de habituação e banalização de tais dispositivos que infringem a privacidade e de uma mudança, no futuro, e potencialmente por outras razões, em direção a uma sociedade onde tais controles seriam a norma e não a exceção."

Também em conexão com a crise sanitária, a CNIL reiterou os princípios a serem respeitados ao comunicar aos médicos a lista de seus pacientes não vacinados.

Duas sanções merecem destaque., imposta pela CNIL em 22 e 28 de julho contra

• por um lado do Grupo AG2R La Mondiale por um valor de 1,75 milhões de euros por incumprimento das obrigações do RGPD relativas à retenção de dados e informações de indivíduos,
• e por outro lado do Empresa Monsanto por um montante de 400.000 euros, por não ter informado as pessoas incluídas em um arquivo de lobby.

A ANSSI e a DINSIC estão publicando um guia que visa explicar de forma prática e concreta como a agilidade e a segurança contribuem para o desenvolvimento seguro de projetos e a gestão de riscos digitais.

O guia oferece suporte progressivo, workshop por workshop, exemplos concretos e folhas de métodos.

Europa:

A Amazon acaba de ser multada em um recorde de € 746 milhões pela autoridade de proteção de dados de Luxemburgo. por não conformidade com os princípios do RGPD e, em particular, segmentação de publicidade sem o consentimento dos titulares dos dados.

Esta decisão de 15 de julho surge na sequência da queixa colectiva iniciada pela associação de defesa das liberdades civis

A La Quadrature du Net apresentou uma queixa à CNIL, na França, referindo-se à autoridade luxemburguesa, devido à localização da sede da Amazon em Luxemburgo. A empresa anunciou que recorrerá da decisão.

A autoridade holandesa de proteção de dados multou o TikTok em € 750.000, por falta de informações claras sobre seu processamento de dados.

As informações, disponíveis apenas em inglês, foram consideradas incompreensíveis para as crianças, principais usuárias do aplicativo.

Internacional:

ESTADOS UNIDOS: O Instituto Nacional de Padrões e Tecnologia (NIST) publicou um guia para identificar e gerenciar vieses em inteligência artificial: “uma proposta para identificar e gerenciar vieses em inteligência artificial”.

A Zoom concordou em pagar US$ 85 milhões para resolver um processo nos Estados Unidos.

Foi acusado de compartilhar dados de seus usuários e de não protegê-los de certos ataques de computador ("zoombombing").

A empresa está comprometida em treinar seus funcionários sobre proteção de dados e fortalecer suas medidas de segurança.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.