Esse post é o segundo de dois analisando os riscos de aprovação de obrigações de vigilância perigosas e desproporcionais no projeto de lei brasileiro das Fake News. Você pode ler o primeiro artigo aqui.

Após uma série de audiências públicas na Câmara dos Deputados brasileira, seguindo a aprovação do chamado PL das Fake News (PL 2630) no Senado, o Deputado Orlando Silva (PCdoB/SP) divulgou um texto revisado da proposta no final de outubro. Como falamos em nosso primeiro post, o novo texto contém boas e más notícias para a privacidade dos usuários se comparado a versões anteriores. Uma das más notícias é a expansão de obrigações de guarda prévia de dados.

O Marco Civil da Internet brasileiro, aprovado em 2014, já estipula a retenção de "registros de conexão" e "registros de acesso a aplicações" para os provedores de conexão e para as aplicações de internet enquadrados na lei. Aplicações de internet se referem de forma geral aos sites e plataformas online. Segundo a lei, os provedores de aplicações constituídos como pessoas jurídicas, com fins econômicos, devem coletar e guardar previamente a data e a hora em que a aplicação é utilizada, a partir de um determinado endereço IP, por um período de seis meses. O artigo 37 do projeto de lei busca expandir indiretamente a definição de "registros de acesso a aplicações" para obrigar os provedores de aplicações a reter "registros que individualizem o usuário de um endereço IP de maneira inequívoca".

Desde os debates sobre a aprovação e posterior regulamentação do Marco Civil, autoridades de investigação têm pressionado para incluir as informações sobre as portas lógicas de origem na obrigação de guarda de dados da lei. Elas têm buscado influenciar a legislação e o entendimento dos tribunais sobre a obrigação de retenção existente, uma vez que o Marco Civil não menciona o armazenamento das portas lógicas. Essa pressão leva em conta o atual uso de soluções técnicas (particularmente aquelas baseadas em Network Address Translation (NAT)), que permitem que vários usuários compartilhem simultaneamente um único endereço de IP público. Há uma escassez de endereços IPv4 públicos, e para ajudar a mitigar esse problema, o NAT nos possibilita usar vários IPs privados para um IP público. O NAT pode fazer isso alocando um conjunto de portas por IP privado no IP público. No entanto, os servidores na internet ainda precisam fazer a correlação dessa informação com os registros do provedor de conexão.

Apesar das controvérsias nos tribunais e das críticas bem fundamentadas de que a interpretação judicial não deveria expandir as obrigações legais de guarda prévia de dados, decisões recentes do Superior Tribunal de Justiça (STJ) sustentaram tal extensão problemática. O artigo 37 do PL busca passar por cima dessa controvérsia, e com uma redação que pode ir além do polêmico armazenamento das portas lógicas.

A regra obriga as aplicações de internet a individualizar o usuário de um endereço IP de maneira inequívoca, aparentemente baseada na aspiração falha de vincular um determinado endereço IP a um usuário específico sem margem para erros. Essa redação oferece um campo aberto para interpretações legais que poderiam estender severamente as obrigações atuais de guarda de dados, ou mesmo forçar o uso de identificadores persistentes ligados a cada movimento nosso online. Há tantas variáveis no roteamento da Internet, que não é possível para uma aplicação dizer inequivocamente quem está relacionado a uma conexão.

Os endereços IP foram concebidos para identificar de forma única destinos eletrônicos na internet, não usuários específicos. Embora às vezes seja razoável supor que uma única pessoa tenha um endereço IP (por exemplo, o endereço dado a um telefone celular), com frequência um único endereço é dado a uma casa inteira e um único dispositivo, como um tablet, é comumente usado por mais de uma pessoa. As redes móveis trazem questões adicionais que fazem os endereços IP flutuarem. Ainda, um dispositivo muda de endereço IP quando conectado a diferentes redes Wi-Fi. Além disso, devido a razões de roteamento, eficiência e disponibilidade de endereços IPv4, os endereços IP não são estáticos para dispositivos específicos.

Empresas e pessoas que operam redes sem fio abertas fora de suas casas, cafés, bibliotecas públicas, negócios e comunidades, por meio das quais outras pessoas podem conectar seus dispositivos, ou mesmo ambientes compartilhados onde vários indivíduos usam os mesmos dispositivos, são exemplos de como isso pode ficar complicado. Outros serviços, como as Redes Privadas Virtuais (VPNs) e servidores proxy, também podem tornar os endereços IP indicadores não confiáveis da identidade de uma determinada pessoa. Quando se está conectado a uma VPN, o endereço IP visível ao site ou aplicativo visitado é o IP público do provedor da VPN, e não o IP ligado ao dispositivo do usuário.

Por vezes, pode haver até erros nos registros que as empresas de telecomunicações entregam à polícia. Finalmente, os endereços IP podem ser maliciosamente forjados para ocultar a origem do remetente ou se fazer passar por outro sistema informático. Essa técnica, chamada de IP Spoofing, é usada em ataques DDoS e poderia ser ainda mais explorada por atacantes, buscando incriminar outras pessoas, se a aspiração de ligar inequivocamente um endereço IP a um usuário for transformada em lei e reforçada pelos tribunais.

Embora os endereços IP possam ser suficientes para identificar a pessoa que utiliza um dispositivo, especialmente quando se tem a data e hora em que a aplicação foi utilizada (e quando a conexão começou e terminou), isso não afasta checagens adicionais. No entanto, o artigo parece pretender pular essa etapa, tornando a aplicação de internet responsável por verificar e afirmar de forma inequívoca quem é o usuário individual de um endereço IP. Outros identificadores web como os cookies, por exemplo, podem ser apagados pelo usuário e estão também relacionados a dispositivos que podem ser utilizados por várias pessoas. Os identificadores de hardware, como o número IMEI, só são visíveis para aplicações com permissões especiais, exatamente por razões de privacidade e proteção de dados.

Os endereços IP (e o protocolo TCP/IP) fazem parte da estrutura que sustenta as comunicações na Internet, ligadas às solicitações que fazemos na web e às informações que acessamos online. Eles foram projetados para individualizar destinos eletrônicos de modo que as comunicações possam acontecer e os serviços possam chegar uns aos outros; não para individualizar um usuário de forma única. Além disso, a defesa da guarda prévia e massiva de endereços IP transformados em identificadores inequívocos de cada usuário da Internet (incluindo a grande maioria das pessoas que não cometeram crimes) é contrária aos padrões internacionais de privacidade e proteção de dados.

Na decisão histórica Digital Rights Ireland, o Tribunal de Justiça da UE condenou a guarda generalizada de metadados de comunicações como uma violação dos direitos de privacidade e proteção de dados garantidos pela Carta de Direitos Fundamentais da UE, o que foi posteriormente confirmado pela decisão Tele2/Watson. Os padrões de direitos humanos afirmados pela ONU e pela Comissão Interamericana de Direitos Humanos são explícitos na rejeição de obrigações indiscriminadas de retenção de dados, que afetam todos os usuários de internet. A guarda prévia massiva de dados também representa riscos de segurança.

Os debates do Marco Civil sobre as disposições que estabelecem as obrigações de guarda de dados foram intensos e, embora elas tenham sido finalmente aprovadas, a escolha do legislador não foi forçar as aplicações de internet a armazenar informações prontamente individualizando ou identificando seus usuários. Essa escolha foi correta e não impede a investigação de atos ilegais com base nas informações disponíveis.

O artigo 37 do projeto de lei não é um pedido razoável. A guarda prévia massiva de registros de comunicação individualizando de maneira inequívoca o usuário de um endereço IP levará a obrigações de vigilância severamente desproporcionais, bem como a riscos de segurança. Assim como a regra da rastreabilidade, os legisladores brasileiros devem abandonar o artigo 37 em favor dos direitos fundamentais de privacidade, liberdade de expressão e proteção de dados pessoais.