A aprovação do Marco Civil da internet no Brasil rompe com uma lógica de criminalização da rede seguida por diversos países, principalmente após o 11 de setembro de 2001. Até o início do século XXI, a chamada indústria do copyright era a principal defensora de medidas restritivas do uso da internet e de criminalização de práticas cotidianas dos cidadãos conectados. Em 1998, o Congresso dos Estados Unidos aprovou o Digital Millennium Copyright Act, conhecido como DMCA, uma lei que criminaliza não só a suposta violação de direitos autorais, mas também a criação ou distribuição de tecnologias que permitam burlar o copyright.
Nos primeiros anos deste século, a ideia de que a rede seria fundamentalmente o território do terrorismo, da preparação e execução de crimes gravíssimos tornou-se o centro das práticas de controle político da internet. Jacob Appelbaum, no livro Cypherpunks, publicado por Julian Assange com a colaboração de outros autores, denominou de “Os Quatro Cavaleiros do Infoapocalipse: pornografia infantil, terrorismo, lavagem de dinheiro e a guerra contra certas drogas” (Assange et al., p. 64). Para combater tais males, seria necessário reduzir as liberdades e ampliar o vigilantismo na internet. Uma grande pressão internacional foi liderada pelos Estados Unidos para que os países criassem leis de vigilância e controle dos seus cidadãos no uso da comunicação digital.
A Convenção sobre o Cibercrime, também conhecida como Convenção de Budapeste, um tratado internacional de direito penal, elaborado pelo Conselho da Europa, sob forte influência norte-americana, teve sua formulação apressada após o 11 de setembro e foi aberta para assinaturas em novembro de 2001. Ela inspirou diversas proposições legislativas nacionais, de medidas contra as violações do direito autoral, pornografia infantil e garantia da segurança das redes. No Brasil, a Convenção de Budapeste influenciou decisivamente o projeto de lei conhecido como “AI-5 Digital”. O combate a esse projeto sobre crimes na internet gerou o Marco Civil, uma lei que visa garantir os direitos fundamentais dos cidadãos na rede e que pretendia evitar que a internet tivesse sua dinâmica alterada por medidas de segurança exageradas.
Apesar de o Marco Civil ser a lei mais avançada do mundo na garantia dos direitos individuais na rede, de assegurar a neutralidade como princípio central da internet livre, de ter sido formulada de modo colaborativo — contando com mais de duas mil contribuições da sociedade civil, a partir de uma plataforma online — , para que fosse aprovada na Câmara dos Deputados, o relator Alessandro Molon teve que incorporar no projeto alguns dispositivos nocivos à defesa da privacidade. Aqui apontarei os riscos de um desses dispositivos, a chamada guarda de logs de aplicação.
O termo log é um jargão técnico utilizado para expressar o registro de um evento em um sistema computacional. Existem vários tipos de logs de dados, ou seja, de registro de atividades realizadas dentro de um computador ou em uma rede. O Marco Civil trata de três tipos de logs; “Guarda de Registros de Conexão” (Art. 13), “Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Conexão” (Art.14) e “Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações” (Art.15).
O que é um registro de conexão?
Para navegar na internet, nosso computador ou dispositivo recebe um número de IP (Internet Protocol). Esse número permite que nossa máquina obtenha uma posição única e inequívoca na rede. Por isso, quando estamos em uma sala repleta de dispositivos conectados, as informações que solicitamos de um site aparecem apenas na tela do nosso computador e não na do computador vizinho. Cada máquina tem uma posição única na internet. Para abrir uma página da web ou para receber nossos e-mails, para baixar um arquivo, os dados são enviados para o endereço IP que nossa máquina está utilizando ao se conectar na internet. Quando fazemos o login na rede, pegamos um número IP, e quando saímos da conexão, fazemos o logout. O registro de conexão é o “conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados”.
Quem tem interesse na guarda de logs ou registros de conexão?
As forças de segurança, em geral, consideram que os registros de conexão de um usuário da internet podem ser uma pista importante para esclarecer crimes, pois permitem identificar que ponto da rede estava usando um determinado IP em um certo horário. Por exemplo, quando um cracker tenta invadir um banco, o faz a partir de um computador conectado que estava utilizando um determinado IP que ficou registrado nos servidores do banco. A polícia tem como pista o número IP que tentou quebrar a segurança digital do banco. Sabendo que aquele IP pertence a um determinado provedor de acesso à internet, a polícia solicita ao provedor os dados de quem estava utilizando o determinado IP na hora exata do ataque ao banco.
O que são logs ou registros de acesso a aplicações de internet?
Aplicações de internet, para o Marco Civil, é um “conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet”. Nesse sentido, um site, uma rede social, um mecanismo de busca, um blog, um portal de notícias, um serviço de streaming, são exemplos de aplicação da internet. Por exemplo, quando acessamos o Twitter, os servidores que hospedam essa rede social precisam saber qual é o IP do nosso computador para nos enviar os dados que solicitamos, ou seja, para atualizar as postagens que estão sendo realizadas pelos outros usuários da rede social. Portanto, os registros de acesso a aplicações de internet são o “conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço de IP”.
Os dados dos usuários que acessam as redes sociais, os grandes portais, os mecanismos de busca, entre outras aplicações da rede, já são armazenados e processados, pois fornecem uma série de informações valiosas sobre quem mais utiliza a aplicação, localidade de acesso, tempo de uso de cada página, termos utilizados nas buscas etc. Os dados do IP de quem acessa, em geral, são cruzados com os chamados cookies, algumas linhas de código enviadas para o computador de quem acessa uma determinada aplicação. Com os cookies, é possível saber que uma determinada pessoa voltou a acessar aquela aplicação, mesmo utilizando um IP diferente. Existe um mercado de logs de aplicação ou, dito de outro modo, do rastro digital de quem navega pela rede.
É vetada a guarda dos registros de acesso a aplicações de internet pelos provedores de conexão?
O Marco Civil, no seu Artigo 14, proíbe que um provedor de conexão, em geral, uma empresa de telefonia, guarde as informações sobre a navegação dos seus clientes. Com isso, a lei quer evitar uma situação de completa quebra de privacidade, pois só podemos navegar na rede a partir de uma conexão fornecida por uma operadora de telecomunicações. Todos os cliques que damos, todo site que visitamos, todo e-mail que enviamos ou recebemos, todas as buscas que fazemos, todas as compras e conversas que realizamos passam pelos cabos e fibras das empresas de telecom, provedoras de nossa conexão à internet. Para evitar que elas tenham todas as informações sobre nossa vida digital, o Marco Civil proibiu que o provedor de conexão armazene nossos dados de navegação.
Qual o grande problema do Artigo 15 ou quais os perigos da guarda de logs de aplicação?
A expansão da internet fez emergir uma microeconomia da vigilância ou da interceptação de dados pessoais. Empresas como Google, Yahoo e Facebook, e tantas outras, guardam os dados de navegação de seus usuários para analisá-los e descobrir quais os seus perfis de comportamento, perfis de consumo e perfis ideológicos para vender possibilidades de modulação de práticas, gostos e vontades para empresas ávidas por ampliar seus mercados. A economia informacional é cada vez mais dependente da microeconomia da vigilância, praticada pelos grandes e médios provedores de aplicações da rede.
O Marco Civil, ao obrigar – ao invés de restringir – a guarda de logs de aplicação, está ampliando e legalizando esse mercado de observação e análise de nossas vidas que é feito pela redução crescente da privacidade e da intimidade dos cidadãos. Mesmo restringindo a obrigatoriedade de guarda das informações às pessoas jurídicas com fins econômicos, ela expandirá o mercado de vigilância. Por isso, é preciso que a regulamentação do Artigo 15 seja realizada de modo transparente pelo governo, tal como foi elaborado o projeto original do Marco Civil. O ideal é que o projeto de regulamentação seja submetido à consulta pública online antes de virar decreto presidencial.
A busca da defesa da privacidade como direito fundamental da comunicação em rede se choca com parte da dinâmica da economia informacional, pois nossos dados de navegação são extremamente valiosos. O armazenamento desses dados de navegação nos torna completamente fragilizados diante de grandes corporações e de segmentos políticos autoritários que ocupam a máquina de Estado. Outro grande problema do Artigo 15 é que após os seis meses em que os dados devem estar “guardados sob sigilo, em ambiente controlado e de segurança”, poderá ocorrer a troca dos mesmos com empresas especializadas em processar informações de navegação e realizar cruzamentos inaceitáveis, pois comprometem completamente nossa intimidade. Repare que apesar do texto do Artigo 15 enfatizar que a segurança dos dados armazenados é fundamental, ela só seria efetiva para o cidadão se seus dados não pudessem ser reunidos e armazenados.
Por que a guarda de logs transforma todo o cidadão em um suspeito até prova contrária?
O grande problema do Marco Civil é que, ao tornar legal e obrigatória a guarda de nossos registros de conexão e navegação, ele parte do pressuposto de que todos nós somos potenciais criminosos e, para tal, basta logar nosso computador à internet. De modo equivocado, alguns deputados consideraram razoável o argumento de agentes dos órgãos de vigilância de que a guarda de registros de conexão e de aplicação são fundamentais para esclarecer crimes e punir os criminosos. Ocorre que isso não passa de um mito. Criminosos de grande potencial agressivo não usam IP de suas residências. Utilizam proxies anônimos, técnicas de invisibilidade na rede e, portanto, tornam inócuo esse enorme esforço de guarda de registros de conexão e navegação.
A guarda de logs em ambiente controlado e de segurança certamente irá criar um grande mercado para empresas, que venderão soluções para quem for obrigado a armazenar nossos dados. Dados reunidos que serão alvo fácil para quem possui capacidade de intrusão em sistemas informacionais. Novamente, o cidadão é a vítima de um discurso de segurança que, na realidade, torna mais insegura sua comunicação, pois parte do pressuposto de que a privacidade é secundária diante do imperativo da segurança.
Com a implementação do IPv6, como ficará a guarda de logs?
O número de IPs se esgotou, por isso foi criada uma nova versão para o sistema de endereçamento de dados pela internet. Passaremos da versão 4 para a versão 6, o IPv6. Estamos passando de um sistema numérico que possuía 32 bits para um de 128 bits. Com o novo protocolo IP, teremos milhares de IPs disponíveis para cada cidadão do mundo. Com isso, poderemos avançar muito o conceito de internet das coisas e de conexão generalizada de aparelhos via internet. Em poucos anos, não terá o menor sentido as pessoas não terem IPs fixos. Quando isso acontecer, o grande problema não será a guarda de logs e sim a destruição da vinculação de um IP com a nossa identidade civil.
Um número IP de nossa conexão ficará registrado em todos os roteadores, sites e aplicações que tenhamos visitado. Com a crescente capacidade de criação de ferramentas de análise de rede e de “aranhas” que coletam informações de roteadores e servidores de redes de alta velocidade, teremos uma grande dificuldade de navegarmos sem sermos identificados. Por isso, o Marco Civil, se quiser cumprir sua finalidade de defender a privacidade, deverá, em breve, ser revisto e ter os artigos de guarda de logs reformulados.
A privacidade ainda tem sentido no mundo da internet?
A democracia depende da privacidade e da navegação anônima nas redes digitais. Permitir que um grupo político, uma grande corporação ou uma agência do governo reúna dados sobre nossa navegação nas redes, sobre qual horário compramos livros, que sites visitamos, qual imagem nos chama mais atenção em uma página, com quem conversamos nos canais de comunicação online, equivale a entregar a chave de nossa casa para um desconhecido e dar a ele o poder de nos observar o tempo em que ele quiser. A questão da privacidade é um dos temas mais relevantes da sociedade informacional. Quanto maior o direito à privacidade que conseguirmos exercer nas redes menor será o tamanho da economia da vigilância e da venda de nossos dados de navegação para o processamento em big data centers. Se os direitos à privacidade avançarem, avançarão com eles as condições básicas para as disputas democráticas e para o controle da sociedade sobre o poder. A redução da privacidade implica no aumento do poder das corporações e de grupos que querem o controle não democrático do Estado.
Sérgio Amadeu da Silveira é doutor em ciência política, professor da Universidade Federal do ABC (UFABC) e ativista da liberdade na rede. Foi presidente do Instituto Nacional de Tecnologia da Informação (2003-2005) e integrante do Comitê Gestor da Internet no Brasil (2003-2005 e 2011-2013).
Referências bibliográficas
Assange, Julian (et al.) Cypherpunks: liberdade e o futuro da Internet. São Paulo: Boitempo, 2013. Silveira, Sergio Amadeu. “Redes cibernéticas e tecnologias do anonimato”. Comunicação & Sociedade, vol. 30, n. 51 (2009). Disponível: https://www.metodista.br/revistas/revistas-ims/index.php/CSO/article/viewArticle/856 . Acesso: 30/04/2014. Solha, Liliana Esther Velásquez Alegre. “Os logs como ferramenta de detecção de intrusão”. News Generation, Boletim bimestral da RNP, 19 de maio de 1999, volume 3, número 3. Online: http://www.rnp.br/newsgen/9905/logs.html Acesso: 30/04/2014. Lista de países signatários da Convenção de Budapeste sobre Cibercrimes: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=9/2/2006&CL=ENG Acesso 30/04/2014
|