Opinião & Análise

STF

A criptografia é supraconstitucional

Não há o que se falar em inconstitucionalidade da criptografia

criptografia
Crédito: Pixabay

Há algumas semanas a criptografia ganhou relevo importante na imprensa nacional. Não é de hoje que se fala em segurança da informação, mas o advento do GDPR (General Data Protection Regulation), na Europa, jogou luz num terreno obscuro: a necessidade de se preservar a privacidade dos dados e registros pessoais, sem que isso ultrapasse a barreira da legalidade.

Antes de adentrarmos nesta seara, contudo, faz-se necessário entender o que, de fato, é a criptografia de dados. Trata-se de um método tecnológico amplamente eficaz que, a partir da criação e combinação de códigos e cifras, torna os dados, que por ela passam, ininteligíveis.

Ou seja, é o meio mais eficiente para evitar que um hacker roube e faça uso indevido de dados após adentrar um sistema. Esses dados podem ser de qualquer tipo: informações pessoais (nome, endereço, números de ID); dados da web (logins, senhas, IP, cookies etc); dados de saúde, genéticos e biométricos; raciais, étnicos, opiniões políticas e até de orientação sexual; e de qualquer outro tipo que possa ser armazenado em sistemas de banco de dados, ERPs, business intelligence, comportamentais, métricas, faturamento, controles internos, demográficos etc.

Desta forma, o passo salutar que a aprovação do GDPR traz para o mundo é: todas as empresas, pequenas, médias ou grandes, que já fazem ou vierem a fazer qualquer tipo de negócio com empresas e cidadãos europeus, devem se adequar à lista de exigências que nele consta, entre as quais está a observância à privacidade dos dados.

Ao todo, são mais de 60 itens contidos na Regulamentação e as empresas terão dois anos para se adequarem à nova determinação. Entre eles estão: a exigência de um robusto programa de governança em proteção de dados a todas as empresas; a designação de uma função específica pelo DPO (Data Protection Officer); a obtenção comprovada do consentimento, antes de processar os dados; uma maior transparência e lealdade em relação ao uso que se faz dos mesmos; e o respeito do direito do usuário ao esquecimento e à portabilidade de suas informações etc.

As empresas, portanto, deverão seguir uma rígida política de privacidade, sendo impensável desassociar a criptografia desse bojo, mesmo que ela inviabilize, como já ocorreu com o WhatsApp, no Brasil, o acesso da justiça aos dados. Ou seja, a colisão que se depreende desta análise está no princípio da busca pela verdade real, dentro de um processo judicial, atrelado ao mandamus de exibição de documentos (art. 5º, XII, CRFB), versus a impossibilidade técnica de acessá-los.

Apesar das orientações claras da nova regulamentação europeia, há quem vislumbre prejuízos. O tema é delicado e exige muita atenção ao ser discutido. No Brasil, dois processos fazem o Supremo Tribunal Federal se debruçar sobre o assunto, a ADPF 403 e a ADI 5527, resvalando na questão da constitucionalização do item primordial do GDPR, a criptografia.

Há alegações e indagações sobre a possibilidade de que, uma medida de segurança tão necessária quanto essa (e até prevista no Marco Civil da Internet – Lei 8.771.16, art. 13, IV), seja abolida ou flexibilizada, ou seja, aventa-se sobre a possibilidade de interceptação ou de desabilitar a mesma quando há ordem judicial.

Nesse sentido, não é porque criminosos se utilizam de criptografia, que a mesma deva ser colocada em xeque. Como parâmetro, há a prática de crimes cotidianamente e isso não impede ou restringe a circulação de pessoas nas ruas, assim como não se diminui acidentes de trânsito proibindo o uso de veículos.

Muito embora pareça, inicialmente, ser uma afronta à ordem constitucional vigente em nosso país, a nova regulamentação impõe uma importante e clara decisão no sentido de que a privacidade é sobressalente, não só pelo volume de pessoas e dados existentes no mundo, mas pelas consequências que a exploração indevida desse arsenal pode gerar.

É apocalíptico imaginar que senhas e logins (e outros dados) estejam relegados a planilhas simples de Excel e que gigantes do mundo tecnológico não se atentem para os iminentes perigos a que expõem seus usuários. Ontem foi o Yahoo, a Netshoes, o Facebook e o Ashley Madison, com casos até de suicídio. Amanhã será qual empresa, do Vale ou de qualquer lugar no mundo, a jogar os dados dos usuários na vala?

Sabemos que há uma preocupação do Governo, em sede de segurança jurídica e nacional, a fim de interferir e grampear as comunicações de suspeitos, sejam eles pessoas físicas ou jurídicas. Mas, entendemos que a tecnologia deve permitir e viabilizar concretamente a privacidade, seja na transmissão ou armazenamento.

Criminalizar a codificação é abrir as portas para uma enxurrada de ataques virtuais e acessos indevidos, tornando-nos reféns de um mundo cibernético sem Lei. Um simples acesso à conta bancária, um documento importante e sigiloso que precisa chegar ao seu destinatário pela troca de e-mails, mensagens instantâneas e computadores empresariais estariam em constante vulnerabilidade.

Nesse ciberespaço marginalizado, não haveria local seguro para armazenar itens relevantes e, inclusive, o próprio governo seria boicotado, porque, sem o uso da criptografia, suas informações secretas poderiam estar nas mãos dos hackers ou de outros Países, haja vista o Wikileaks.

Por outro lado, vamos imaginar, se todos os órgãos governamentais pudessem ter acesso às senhas armazenadas em bancos ou sites de e-commerce, ou se os acessos aos computadores não puderem ser protegidos, como ficaria o ICP Brasil (Infraestrutura de Chaves Públicas Brasileiras)? Seríamos obrigados a abrir a chaves privadas em função da coerção governamental? Não nos parece constitucional conferir acesso irrestrito ao Estado.

De toda forma, supondo que seja votada e aprovada a criminalização da criptografia de dados como medida de segurança, com ou sem restrições, será, no mínimo, pedante. Quem irá fiscalizar? Quais as bases e regras para essas restrições? Como o Governo acompanharia a evolução tecnológica e como o Brasil se portará frente ao globo? Estamos diante de um caso de supra constitucionalidade, ou seja, as razões expostas extrapolam os interesses jurídicos internos do Brasil.

Diante deste cenário, não há o que se falar em inconstitucionalidade da criptografia. Ela é o meio para que tudo o que se almeja com o GDPR, em termos de segurança da informação, seja alcançado e este foi só o primeiro passo e marco mundial nesse sentido. A tecnologia vai evoluir e outras formas de proteção, com toda certeza, irão emergir. É uma pena que estejamos tão distantes e atrasados nessa discussão aqui no Brasil e preocupa-nos, ainda mais, o risco de retroagir no pouco que avançamos, vindo a nos distanciar ainda mais das definições globalizadas acerca do assunto.


Você leu 1 de 3 matérias a que tem direito no mês.

Login

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito