Este artigo é o segundo de dois que examinam os riscos de aprovação de obrigações de vigilância perigosas e desproporcionais no projeto de lei de notícias falsas do Brasil. Você pode ler nosso primeiro artigo aqui.
Após uma série de audiências públicas na Câmara dos Deputados do Brasil após a aprovação pelo Senado do chamado projeto de notícias falsas (fatura 2630)O deputado Orlando Silva divulgou texto revisado da proposta. Como dissemos em nosso primeiro post, o novo texto contém boas e más notícias para a privacidade do usuário em comparação com as versões anteriores. A má notícia é a expansão dos mandatos existentes de retenção de dados.
Do Brasil Marco de Direitos Civis para a Internet (conhecido como “Marco Civil”, aprovado em 2014) já estipula o retenção de “registros de conexão” e “registros de acesso a aplicativos” para provedores de serviços de Internet (ISPs) e aplicativos estabelecidos por lei. Os aplicativos da Internet geralmente se referem a sites e plataformas online. De acordo com o Marco Civil, os provedores de aplicativos constituídos como pessoas jurídicas, para fins comerciais, devem coletar e guardar a data e a hora de uso do aplicativo, a partir de um endereço IP específico, por um período de seis meses. O artigo 37 do projeto de lei visa expandir indiretamente a definição de “acesso a registros de aplicativos” para forçar os provedores de aplicativos a reter “registros que inequivocamente individualizar o Nome do usuário de um endereço IP “.
Desde os debates sobre a aprovação e maior regulamentação do Marco Civil, os órgãos de cumprimento da lei têm pressionado para que as informações sobre os usuários sejam incluídas. portas de rede na obrigação de retenção de dados da lei. Eles têm procurado influenciar a legislação e o entendimento dos tribunais sobre o mandato de retenção existente, uma vez que o Marco Civil não menciona o armazenamento de portas de usuários. Tal impulso leva em consideração o uso atual de soluções técnicas (particularmente aquelas baseadas em Tradução do Endereço da Rede (NAT)) que permitem múltiplos usuários para compartilhar simultaneamente um único endereço IP público. Há uma escassez de endereços IPv4 públicos e, para ajudar a mitigar esse problema, o NAT nos permite usar vários IPs privados para um IP público. O NAT pode fazer isso atribuindo um intervalo de portos por IP privado no IP público. No entanto, os servidores de Internet ainda precisam correlacionar essas informações com os registros do provedor de serviços de Internet.
Apesar das polêmicas nos tribunais e bem fundado Reveja que a interpretação judicial não deve estender as obrigações de retenção de dados, recente falhas, panes a partir de o Superior Tribunal de Justiça (STJ) confirmou essa extensão problemática. O artigo 37 do projeto de lei busca anular essa polêmica com uma redação que pode ir além da problemática retenção de portas de rede.
A disposição requer aplicativos de Internet para inequivocamente individualizar o Nome do usuário de um endereço IP, aparentemente baseado na aspiração falha de vincular um determinado endereço IP a um usuário específico sem margem de erro. Essa linguagem oferece interpretações abertas por parte da aplicação da lei e dos tribunais que podem estender severamente os mandatos atuais de retenção de dados, ou até mesmo forçar o uso de identificadores persistentes vinculados a cada um de nossos movimentos online. Existem tantas variáveis no roteamento da Internet que não é possível para um aplicativo dizer inequivocamente quem está relacionado a uma conexão.
Endereços IP wEles são projetados para identificar exclusivamente destinos eletrônicos na Internet, não usuários específicos. Embora às vezes seja razoável supor que uma única pessoa tenha um endereço IP, por exemplo, o endereço fornecido para um telefone celular, um único endereço é frequentemente fornecido para uma família inteira e um único dispositivo, como um tablet, é comumente usado. para mais de um. pessoa. As redes móveis trazem problemas adicionais que fazem com que os endereços IP flutuem. Além disso, um dispositivo muda seu endereço IP quando se conecta a diferentes redes Wi-Fi. Além disso, devido ao roteamento, eficiência e disponibilidade de motivos de endereço IPv4, os endereços IP não são estáticos para dispositivos específicos.
Empresas e indivíduos que operam redes sem fio abertas Fora de suas casas, cafés, bibliotecas públicas, empresas e comunidades que várias pessoas podem usar, ou até mesmo ambientes compartilhados onde várias pessoas usam os mesmos dispositivos, são exemplos de como isso pode ficar complicado. Outros serviços, como redes privadas virtuais (VPNs) e servidores proxy, também podem tornar os endereços IP indicadores não confiáveis da identidade de uma pessoa específica. Ao conectar-se a uma VPN, o endereço IP visível para o site ou aplicativo visitado é o IP público do provedor de VPN, não aquele relacionado ao dispositivo do usuário.
Às vezes, pode até haver erros. nos registros fornecidos pelas empresas de telecomunicações às autoridades responsáveis pela aplicação da lei. Por fim, os endereços IP podem ser falsificados de forma maliciosa para ocultar a origem do remetente ou se passar por outro sistema de computador. Esta técnica, chamada Spoofing de IP, é usado em ataques DDoS e pode ser explorado ainda mais por invasores que buscam enquadrar outros usuários de forma mal-intencionada se a aspiração de vincular inequivocamente um endereço IP a um usuário se tornar lei e for executada por um tribunal.s.
Embora os endereços IP possam ser suficientes para identificar a pessoa que usa um dispositivo, especialmente quando você tem a data e a hora em que o aplicativo foi usado (e quando a conexão foi iniciada e encerrada), eles não excluem verificações adicionais. No entanto, a disposição parece ter a intenção de pular essa etapa, tornando o aplicativo da Internet responsável por verificar e afirmar inequivocamente o usuário individual de um endereço IP. De outros identificadores da web como cookies, por exemplo, podem ser excluídos pelo usuário e também estão relacionados a dispositivos que podem ser usados por várias pessoas. Identificadores de hardware, como Número IMEI, eles só são visíveis para aplicativos com permissões especiais exatamente por motivos de privacidade e proteção de dados.
Os endereços IP (e o protocolo TCP / IP) são um componente básico das comunicações pela Internet, das solicitações da Web relacionadas que fazemos e das informações que acessamos. Ele foi projetado para individualizar os destinos para que as comunicações possam ocorrer e os serviços possam chegar uns aos outros; não individualizar exclusivamente um usuário. Além disso, defender a retenção em massa de endereços IP transformados em identificadores exclusivos de cada usuário da Internet (a grande maioria dos quais são pessoas que cumprem a lei) viola os padrões internacionais de privacidade e proteção de dados.
No marco Direitos digitais da Irlanda decisão, o Tribunal de Justiça da UE condenou a retenção generalizada de metadados de comunicações como uma violação dos direitos de privacidade e proteção de dados ao abrigo da Carta da UE, o que foi posteriormente confirmado pelo Tele2 / Watson decisão. CIDH e ONU direitos humanos Os padrões são claros ao rejeitar Mandatos de retenção indiscriminada de dados que afetam todos os usuários da Internet. A retenção em massa de dados também aumenta riscos de segurança.
Os debates do Marco Civil sobre as disposições que estabelecem obrigações de retenção de dados foram acalorados e, embora os mandatos tenham sido finalmente aprovados, escolha dos legisladores não era para forçar os aplicativos da Internet a armazenar informações que facilmente individualizariam ou identificariam os usuários. Essa escolha foi correta e não impede a investigação de atos ilícitos com base nas informações disponíveis.
O artigo 37 do projeto de lei não é uma questão razoável. A retenção em massa de logs de comunicação, individualizando inequivocamente o usuário de um endereço IP, levará a obrigações de vigilância gravemente desproporcionais, bem como a riscos de segurança. Como a regra de rastreabilidade, Os legisladores brasileiros deveriam abandonar o artigo 37 em favor da privacidade, da liberdade de expressão e dos direitos fundamentais de proteção de dados.
