Imagine um crime. Imagine que a única prova está no telemóvel de um arguido. O telemóvel está encriptado. O que pode fazer o Ministério Público ou um juiz em Portugal? António Gomes, juiz de instrução, explica: de acordo com a legislação em vigor as autoridades portuguesas podem exigir a uma marca tecnológica a desencriptação de um telemóvel para poderem aceder aos dados sob investigação, «mas nunca seria possível exigir o desenvolvimento de uma ferramenta de desencriptação».
O juiz, que considera excessiva a ordem de desenvolvimento de uma ferramenta de desencriptação que, potencialmente, pode ser usada em todos os dispositivos, faz uma comparação com o que a lei nacional prevê para a interceção de chamadas telefónicas: «as escutas só podem feitas com o apoio das operadoras. São as operadoras que tratam de tudo o que é necessário para que as escutas sejam feitas. Não é a polícia que tem o acesso direto. Exigir isso (o acesso direto às escutas) seria excessivo, e poderia pôr em causa os direitos dos cidadãos».
Nas escutas e na correspondência, apenas com a ordem de um juiz se pode exigir a uma empresa que disponibilize o acesso aos dados. No caso de um acesso ao telemóvel, o Ministério Público também pode solicitar a desencriptação – desde que não exija o acesso a dados ou conteúdos (contas de e-mail, fotos, SMS) que poderão representar uma ameaça à intimidade do dono do terminal ou de terceiros. No caso de haver uma ameaça para a intimidade, o Ministério Público terá de se munir de um mandado de um juiz para garantir a desencriptação e o acesso aos dados.
FBI Vs Apple: como seria em Portugal?
À luz da legislação portuguesa, o caso que opõe o FBI e a Apple teria como desfecho provável a derrota da polícia norte-americana e a anulação da exigência de desenvolvimento de uma ferramenta que permite desencriptar o telemóvel. A Lei do Cibercrime, que tende a ganhar cada vez mais peso num tempo em que a esmagadora maioria dos processos já envolve provas digitais, determina que as empresas que gerem sistemas operativos ou serviços de armazenamento de dados devem providenciar o acesso aos dados, sob pena de estarem a incorrer em desobediência civil.
A avaliar por esta lei, a Apple está obrigada a desencriptar iPhones que tenham sido apreendidos pelas polícias nacionais – mas isso não significa que a Apple acate essas ordens. E a própria página da Apple que explica porquê: a “marca da maçã” garante que apenas consegue decifrar telemóveis que tenham sistemas operativos anteriores ao iOS 8.0. Nas versões posteriores, a Apple garante que não consegue proceder à desencriptação.
João Paulo Raposo, secretário-geral da Associação Sindical dos Juízes Portugueses (ASJP), admite que um magistrado português possa dar ordem de acesso aos dados e ser confrontado pela resposta de uma marca tecnológica que garante não ter capacidade técnica para providenciar essa informação. «Nesse caso, seria possível lançar uma investigação autónoma para verificar se a justificação dada pela empresa é válida. Se se verificar que a justificação não é válida, pode haver motivo para aplicação de uma sanção», acrescenta o dirigente sindical.
E será que uma sanção aplicada pela justiça portuguesa chega para demover uma empresa como a Apple, cuja faturação anual supera largamente o PIB nacional? João Paulo Raposo admite que as ordens de um juiz e de um procurador do Ministério Público possam não ser fáceis de cumprir. Além de a sanção poder não produzir um efeito dissuasor, o facto de a empresa não estar sedeada em Portugal também poderá desequilibrar os pratos da balança em detrimento da justiça portuguesa.
O fator geográfico não é despiciendo: Facebook, Google, Apple e Microsoft são todas americanas e figuram no topo dos rankings de fornecedores de tecnologias de consumo em Portugal. Questionada pela Exame Informática, a Procuradoria Geral da República (PGR) recorda um acordo assinado em 2013 com a Microsoft, a Google e a Facebook, que permitiu o acesso a dados de investigação de forma eficaz e célere. De fora do acordo ficou a Apple (a PGR reitera apenas que selecionou as outras três marcas por serem as que estão presentes em mais casos).
António Gomes admite que, sem um acordo como aquele que permite que magistrados usem formulários e contas de utilizador certificadas para agilizar os pedidos de informação às grandes marcas tecnológicas, pode tornar-se mais moroso o acesso aos dados de clientes da Apple. Nalguns casos, o pedido poderá nem sequer respeitado pela empresa e as autoridades do país de origem da empresa (a Apple, neste caso) poderão considerar que o pedido não se justifica, ou não tem prioridade.
Além dos casos em que lei prevê a solicitação a desencriptação de um sistema, a justiça portuguesa conta ainda com um plano b: usar de meios e recursos próprios para o desbloqueio de dispositivos apreendidos. Foi com esse propósito que a PGR assinou um protocolo com o Laboratório de Segurança Informática e Cibercrime Instituto Politécnico de Beja (Ubinet). «Até agora tem sido possível quebrar as várias passwords. Mas se depararmos com um disco rígido cifrado a baixo nível podemos concluir que não é entendível», explica Rui Miguel Silva, coordenador do Ubinet.
O especialista do Politécnico de Beja ainda dá como exemplo o sistema de criptografia AES 256: «Se não tivermos a chave não vamos conseguir decifrar o disco rígido, porque simplesmente não é conhecida a criptoanálise desse disco».
E depois da Apple?
O braço de ferro protagonizado pelo FBI e a Apple não só levanta a questão em torno da legitimidade das autoridades para exigir o desenvolvimento de uma ferramenta específica de desencriptação, que Tim Cook, CEO da Apple, comparou a um «cancro», como recorda o poder que as fabricantes de computadores, telemóveis, tablets ou equipamentos de rede têm vindo a ganhar face à lei.
Em 2014, começaram a circular as primeiras notícias que davam conta de uma nova encriptação potencialmente imbatível no iOS. Só passados quase dois anos, se percebeu o verdadeiro alcance desta tecnologia, que a própria Apple dá a entender que não consegue controlar. A meados de fevereiro, um juiz de Los Angeles acede às pretensões do FBI e emite um mandado que exige à Apple que ajude a desenvolver uma ferramenta de desencriptação que ajude o FBI a extrair informação útil a partir do telemóvel de Syed Rizwan Farook, um dos terroristas que assassinaram 14 pessoas num centro de apoio para deficientes mentais de San Bernardino, Califórnia.
A Apple recusou cumprir a ordem – e Tim Cook veio a público mostrar a intenção de levar o caso até ao Supremo Tribunal, se for preciso. Não demorou muito para que a Google revelasse o apoio à decisão da Apple. Organizadas na iniciativa Global Government Surveillance Reform, Microsoft, Yahoo, Facebook, Linkedin, Dropbox voltaram a propalar alguns dos objetivos presentes num manifesto que pretende limitar o raio de ação das autoridades estatais.
Esta terça-feira, um tribunal de Nova Iorque rejeitou um pedido do FBI que era similar àquele que levou o Tribunal de Los Angeles a emitir um mandado que instava a Apple a desenvolver uma ferramenta de desencriptação para o iPhone de um dos terroristas de San Bernardino. O que confirma que, mesmo num País com uma das polícias mais sofisticadas e um dos sistemas de justiça mais céleres do mundo, o caso “FBI vs Apple” está longe de ter um fim definitivo à vista.
Sobre este caso, a Comissão Nacional de Proteção de Dados (CNPD) emitiu a seguinte posição em resposta à Exame Informática: «Se os dados em causa estivessem na disponibilidade da Apple, a privacidade do utilizador cederia perante uma investigação de crime grave, como é o terrorismo. Não há muita dúvida sobre o resultado desta ponderação. Essa possibilidade está aliás prevista também na lei nacional. No entanto, não são essas as circunstâncias. A Apple não é um operador de serviço de telemóvel, é um fabricante, e não tem quaisquer dados na sua disponibilidade ou controlo. Por isso, não lhe é exigível que vá desenvolver software especificamente para dar a possibilidade ao FBI de aceder a dados que se encontram armazenados no aparelho. Também à luz da legislação nacional, essa imposição não seria possível num caso semelhante.».
Daniel Reis, coordenador da área de Tecnologias e Telecomunicações do gabinete de advogados da PLMJ, também recorda a necessária ponderação entre o motivo da investigação e os direitos dos cidadãos cuja privacidade pode ser violada. «Sim, há criminosos que usam tecnologia de encriptação, mas são apenas uma pequeníssima percentagem de todos os utilizadores. As transações financeiras também são encriptadas e eventualmente podem ser usadas para o branqueamento de capitais, mas não podemos sobrevalorizar o impacto desse crime levado a cabo por uma percentagem de utilizadores ínfima».
No Brasil, o uso de cifra também tem estado envolto em celeuma. Em causa, está a lei do Marco Civil, que exige a plataformas eletrónicas, como o WhatsApp, com 93 milhões de utilizadores no Brasil, a colaboração no que toca ao acesso a dados de pessoas sob investigação. Só que a mesma WhatsApp que se tornou numa das bandeiras da defesa dos direitos civis dos brasileiros também poderá suscitar sentimentos menos simpáticos entre os parisienses. Os atentados que vitimaram mortalmente 129 pessoas em novembro foram preparados com recurso a plataformas encriptadas como a Whatsapp.
Apesar do efeito devastador do crime violento, Daniel Reis considera que os Estados têm de saber respeitar alguns limites. «Há países que exigem às diferentes marcas que cedam as chaves de encriptação sejam entregues às autoridades. Não gostaria que isso alguma vez fosse possível em Portugal. É algo que poderia abrir caminho ao abuso de poder por parte das autoridades. Tem de haver um equilíbrio entre a prevenção e a repressão de crimes e os direitos do cidadão».
Nos vários contactos oficiais e informais levados a cabo pela Exame Informática, há um dado em comum: não há conhecimento de algumas vez as autoridades portuguesas terem exigido uma ferramenta de desencriptação a uma marca tecnológica – e há mesmo quem diga que, se alguma vez foi feito algo similar, tanto autoridades como as marcas visadas terão mantido a cooperação em sigilo.
Marco Saias, advogado especializado em privacidade e direitos de autor na PRA – Raposo, Sá Miranda & Associados, considera que a legislação atual não dá o poder de exigir a uma marca tecnológica as ferramentas necessárias de desencriptação, mas também prefere não tomar conclusões definitivas: «Acho muito difícil obter uma ordem dessas (de um magistrado) em Portugal. O artigo 14º da Lei do Cibercrime não cobre a obrigatoriedade de desencriptar os dados. Nem mesmo quando se analisa a lei à luz da Convenção do Cibercrime. Mas admito que haja diferentes interpretações. A norma é suficientemente vaga para que apareçam argumentos noutro sentido».
É no primeiro e terceiros números do artigo 14º da Lei do Cibercrime os termos usados deixam maior margem para diferentes interpretações. O primeiro número refere: «Se no decurso do processo se tornar necessário à produção de prova, tendo em vista a descoberta da verdade, obter dados informáticos específicos e determinados, armazenados num determinado sistema informático, a autoridade judiciária competente ordena a quem tenha disponibilidade ou controlo desses dados que os comunique ao processo ou que permita o acesso aos mesmos, sob pena de punição por desobediência». Em contrapartida, o terceiro número do artigo determina: «(…) quem tenha disponibilidade ou controlo desses dados comunica esses dados à autoridade judiciária competente ou permite, sob pena de punição por desobediência, o acesso ao sistema informático onde os mesmos estão armazenados».
Qual o significado que a palavra «acesso» pode vir a ter nos juristas em tempos de paz? E no seguimento de atentados terroristas, será que a palavra continuará a ser encarada da mesma forma? Essas são as questões que se colocam em todos os países que são alvos de ataques – e que não pode ser encarada de forma totalmente separada do impacto que o crime violento pode ter na opinião pública.
Manuel Lopes Rocha, advogado PLMJ que tem trabalhado nas áreas dos direitos de autor e Internet, aponta para a potencial desatualização das leis e os múltiplos desafios gerados pelo aparecimento de novos produtos e tecnologias. No que toca artigo 14º da Lei do Cibercrime, tem uma opinião que destoa da maioria e que confirma que o debate em torno da encriptação está longe de ficar fechado: «A lei contempla a possibilidade de um juiz português exigir o mesmo que foi exigido pelo juiz do caso de San Bernardino. Faz sentido, uma vez que tanto Portugal como os EUA assinaram a convenção do cibercrime».
Nota: a notícia foi emendada e atualizada, depois de a CNPD considerar que o texto inicial não refletia a respetiva posição sobre este assunto.
