Esboço dos Princípios Internacionais de Vigilância das Comunicações e Direitos Humanos

Estes princípios são o resultado de uma consulta a especialistas da indústria e de grupos da sociedade civil em todo o mundo. Tudo começou com uma reunião em Bruxelas em outubro 2012, para discutir preocupações comuns relativas à expansão global de acesso governamental às comunicações. Desde a reunião de Bruxelas, realizamos mais consultas com especialistas internacionais em políticas, legislação e tecnologia de vigilância das comunicações.[1]

Agora estamos iniciando uma consulta global sobre estes princípios. Por favor, envie comentários e sugestões até 3 de janeiro de 2013 para o e-mail: rights (arroba) eff (ponto) org.

Preâmbulo

A privacidade é um direito humano e é fundamental para a manutenção de sociedades abertas e democráticas. É essencial à dignidade humana, reforça outros direitos – tais como a liberdade de expressão e de associação – e é reconhecido pela legislação internacional de direitos humanos.[2] Atividades que infringem o direito à privacidade, incluindo a vigilância de comunicações por parte de autoridades públicas, apenas podem ser justificadas quando necessárias para atingir um alvo legítimo, sendo estritamente proporcionais e solicitadas por lei.[3]

Antes da adoção pública da internet, princípios jurídicos bem estabelecidos e encargos logísticos inerentes ao monitoramento das comunicações geralmente limitavam o acesso das autoridades públicas às comunicações pessoais. Nas últimas décadas, essas barreiras logísticas para a vigilância em massa diminuíram sensivelmente. A explosão de conteúdo de comunicações digitais e informações sobre essas comunicações, ou “metadados de comunicações”, a queda no custo de armazenamento de grandes quantidades de dados em termos de data- mining, além da entrega de conteúdo pessoal a prestadores de serviços terceirizados permitem que haja vigilância numa escala sem precedentes.[4]

Ao mesmo tempo em que se aceita universalmente que o acesso ao conteúdo das comunicações só deve ocorrer em situações excepcionais, a frequência com que as autoridades públicas buscam acesso a informações sobre as comunicações de um indivíduo ou seu uso de dispositivos eletrônicos está aumentando exponencialmente — sem um controle adequado.[5] Quando acessados e analisados, os metadados de comunicações podem criar um perfil da vida privada de um indivíduo que inclui suas condições de saúde, pontos de vista políticos e religiosos, além de interações e interesses, revelando detalhes ainda mais ricos do que seria perceptível através do conteúdo isolado de uma comunicação.[6] Apesar disso, as políticas e os instrumentos legislativos muitas vezes dispensam um nível menor de proteção aos metadados de comunicações e não colocam restrições suficientes para regular como podem ser usados posteriormente por agências, incluindo a maneira como se realizam seu data-mining, seu compartilhamento e retenção.

Portanto, é necessário que os governos, as organizações internacionais, a sociedade civil e os prestadores de serviços privados articulem princípios para estabelecer o nível mínimo necessário de proteção para as comunicações digitais e metadados de comunicações (coletivamente, “informações”), que se equiparem aos objetivos acordados em instrumentos internacionais de direitos humanos — incluindo uma sociedade democrática governada pelo estado de direito. A finalidade destes princípios é:

  1. Fornecer orientações para alterações legislativas e avanços relativos a comunicações e metadados de comunicações, de modo a assegurar que o uso difundido de modernas tecnologias de comunicação não resulte em uma deterioração da privacidade.
  2. Estabelecer salvaguardas apropriadas para regular o acesso pelas autoridades públicas (agências governamentais, departamentos, serviços de inteligência ou forças policiais) a comunicações e metadados de comunicações sobre o uso por um indivíduo de um serviço eletrônico ou mídia de comunicação.

Exortamos os governos a estabelecer proteções mais fortes, conforme estabelecido em suas constituições e obrigações para com os direitos humanos, ou na medida em que reconhecem que as mudanças tecnológicas ou outros fatores exigem maior proteção.

Estes princípios enfocam principalmente os direitos a ser reivindicados contra as atividades de vigilância do estado. Notamos que os governos devem não só respeitar os direitos humanos em sua própria conduta, mas proteger e promover os direitos humanos dos indivíduos em geral.[7] As empresas são obrigadas a seguir regras de proteção de dados e, concomitantemente, também são obrigadas a responder a solicitações legais. Como ocorreu em outras iniciativas,[8] esperamos oferecer alguma clareza, sugerindo os princípios abaixo para determinar como as leis de vigilância do estado devem proteger os direitos humanos.

Os princípios

Legalidade: Qualquer limitação ao direito à privacidade deve ser determinada por lei. Nem o executivo nem o judiciário podem adotar ou aplicar uma medida que interfira no direito à privacidade sem aprovação anterior, pelos legisladores, de um conjunto de leis que sejam resultado de um processo abrangente e participativo. Dada a velocidade da mudança tecnológica, as leis que autorizam limitações ao direito à privacidade devem ser sujeitas a revisão periódica por meio de um processo legislativo ou regulamentar participativo.

Finalidade legítima: As leis só devem permitir o acesso a comunicações ou metadados de comunicações por autoridades públicas constituídas, para fins de investigação e na busca de uma finalidade legítima, consistente com uma sociedade livre e democrática.

Necessidade: As leis que permitem o acesso a comunicações ou metadados de comunicações por autoridades públicas constituídas devem limitar esse acesso ao que é estrita e comprovadamente necessário, quando há uma justificativa esmagadoramente positiva, e justificável numa sociedade democrática para permitir que as autoridades persigam seus fins legítimos, e sem cujo acesso estas seriam incapazes de prosseguir. O ônus de estabelecer esta justificativa, tanto no judiciário como em processos legislativos, é do governo.

Adequação: As autoridades públicas devem resistir a adotar ou implementar qualquer medida de intrusão que permita acessos a comunicações ou metadados de comunicações que não são adequados para o cumprimento da finalidade legítima que justificou o estabelecimento da medida de execução.

Autoridade competente: As autoridades com o poder de realizar determinações relativas a comunicações ou metadados de comunicações devem ser competentes e agir com independência, tendo recursos adequados para exercer as funções que lhes são atribuídas.

Proporcionalidade: As autoridades públicas só devem requisitar a preservação e o acesso a comunicações ou metadados de comunicações especificamente identificadas após um exame caso a caso, sob uma base jurídica estabelecida. As autoridades competentes devem assegurar-se de que todos os requisitos formais são preenchidos e determinar a validade de cada tentativa particular para acessar ou receber comunicações ou metadados de comunicações, e de que cada tentativa seja proporcional em relação aos objetivos específicos do caso em questão. Comunicações e metadados de comunicações são inerentemente sensíveis e sua aquisição deve ser considerada altamente invasiva. Assim sendo, as solicitações devem no mínimo estabelecer que a) há um elevado grau de probabilidade de que um crime grave tenha sido ou venha a ser cometido; b) as provas de tal crime poderiam ser encontradas no acesso às comunicações ou metadados de comunicações buscados; c) outras técnicas de investigação menos invasivas já foram esgotadas; e d) haja um plano para garantir que as informações recolhidas serão apenas aquelas razoavelmente relacionadas ao crime, e que quaisquer informações recolhidas a mais serão imediatamente destruídas ou devolvidas. Nem o escopo dos tipos de informação, nem o número ou tipo de pessoas cuja informação é solicitada, nem a quantidade de dados buscados, nem a retenção dos dados mantidos pelas autoridades, nem o nível de sigilo atribuído à solicitação devem ir além do que é comprovadamente necessário para se concluir uma investigação específica.

Devido processo legal: O devido processo legal exige que os governos respeitem e garantam os direitos humanos de um indivíduo, que qualquer interferência nesses direitos deve ser autorizada por lei, e que o procedimento legal que determina como o governo pode interferir nesses direitos seja devidamente especificado e esteja disponível para o público em geral.[9] Ao mesmo tempo em que as investigações criminais e outras considerações de segurança pública podem vir a permitir acesso limitado às informações pelas autoridades públicas, a concessão de tal acesso deve estar sujeita a garantias de equidade processual. Todos os pedidos de acesso devem estar sujeitos a autorização prévia por uma autoridade competente, exceto quando há risco iminente de perigo para a vida humana.[10]

Notificação de usuário: Não obstante as notificação e requisitos de transparência serem obrigatórios para os governos, os prestadores de serviços devem notificar o usuário de que uma autoridade pública solicitou sua comunicação ou metadados de comunicações com antecedência e detalhes suficientes sobre a solicitação para que o usuário possa contestar o pedido. Nos casos específicos em que o poder público pretende atrasar a notificação do usuário afetado, ou em situações de emergência nas quais o tempo suficiente pode não ser razoável, as autoridades devem ser obrigadas a demonstrar à autoridade judiciária competente que analisa a solicitação que tal notificação prejudicaria o curso do inquérito. Nesses casos, é da responsabilidade das autoridades públicas notificar o indivíduo afetado e o prestador de serviços assim que o risco for suspenso ou após a conclusão do inquérito, o que acontecer primeiro.

Transparência sobre a utilização de vigilância governamental: A capacidade de acesso por parte de autoridades públicas e o processo de acesso devem ser estipulados por lei e transparentes para o público. Os provedores de serviço e o governo devem fornecer o máximo de transparência possível sobre o acesso por autoridades públicas, sem colocar em perigo as investigações em curso, e com bastantes informações para que os indivíduos tenham conhecimento suficiente para compreender plenamente o âmbito e a natureza da lei, bem como contestá-la quando for relevante. Os prestadores de serviço também devem divulgar o procedimento que aplicam para lidar com solicitações de dados por parte de autoridades públicas.

Supervisão: Deve ser estabelecido um mecanismo de supervisão independente para assegurar a transparência das solicitações de acesso legal. Este mecanismo deve ter autoridade para acessar informações sobre as ações das autoridades públicas, incluindo, sempre que apropriado, o acesso a informações secretas ou confidenciais, para avaliar se as autoridades públicas estão fazendo uso legítimo de sua capacidade legal, e publicar relatórios periódicos e dados relevantes para acesso legal. Isso deve ser feito além da supervisão já exercida por parte de outros órgãos do governo, tais como o parlamento ou a autoridade judicial. Esse mecanismo deve fornecer – no mínimo – informações adicionais sobre o número total de solicitações, o número de solicitações indeferidas e uma especificação do número de solicitações por fornecedor e por tipo de crime.[11]

Integridade das comunicações e sistemas: É responsabilidade dos prestadores de serviço transmitir e armazenar comunicações e metadados de comunicação com segurança e em grau minimamente necessário para a operação. É essencial que as novas tecnologias de comunicação incorporem segurança e privacidade nas fases de projeto. Com o objetivo, em parte, de garantir a integridade dos sistemas dos provedores de serviços, e reconhecendo o fato de que comprometer a segurança para fins de governo quase sempre compromete a segurança de maneira mais geral, os governos não devem obrigar os provedores de serviço a desenvolver capacidade de vigilância ou monitoramento em seus sistemas. Nem devem os governos exigir que esses sistemas sejam projetados para coletar ou manter informações particulares puramente para fins de vigilância ou execução da lei. Além disso, a retenção ou coleta de dados a priori nunca deve ser exigida dos prestadores de serviço, e mandados para a preservação das comunicações e metadados de comunicações devem ser decididos caso a caso. Finalmente, as prerrogativas atuais devem estar sujeitas a auditoria por um órgão independente de supervisão pública.

Garantias para cooperação internacional: Em resposta às mudanças nos fluxos de informação, tecnologias e serviços que agora utilizamos para nos comunicarmos, os governos podem ter que trabalhar entre fronteiras para combater o crime. Os Tratados de Auxílio Mútuo em Matéria Penal (Mutual Legal Assistance Treaties ou MLATs, na sigla em inglês) devem garantir que, sempre que a legislação de mais de um estado puder se aplicar a comunicações e metadados de comunicações, os padrões superiores/mais altos é que devem ser aplicados. Os processos de mútua assistência jurídica e a maneira como são conduzidos também devem ser claramente documentados e acessíveis ao público. Tais processos devem distinguir entre quando a aplicação da lei pode colaborar para fins de inteligência e quando se devem compartilhar provas reais. Além disso, os governos não podem usar a cooperação internacional como meio de vigiar pessoas de maneiras que seriam ilegais sob suas próprias leis. Os estados devem verificar se os dados coletados ou fornecidos – e a maneira como o MLAT os analisa – são de fato limitados ao que é permitido. Na ausência de um MLAT, os prestadores de serviços não devem responder às solicitações do governo de um determinado país solicitando informações de usuários se estas não tiverem as mesmas garantias que os prestadores exigiriam de autoridades nacionais, e também se as salvaguardas não corresponderem a esses princípios.

Salvaguardas contra acesso ilegítimo: Para proteger indivíduos contra tentativas injustificadas de acessar comunicações e metadados de comunicações, os governos devem garantir que as autoridades e organizações que iniciarem, ou forem cúmplices de interceptações ou acessos desnecessários, desproporcionais ou ilegais serão sujeitas a sanções dissuasivas suficientes e significativas – incluindo proteção e recompensas para os denunciantes – e que os indivíduos afetados por tais atividades poderão acessar as vias de reparação. Todas as informações obtidas de maneira inconsistente com estes princípios são inadmissíveis como prova em qualquer processo, bem como qualquer prova derivada de tais informações.

Custos de vigilância: O custo financeiro de fornecer o acesso aos dados do usuário deve ser incorrido pela autoridade pública que empreende a investigação. As restrições financeiras incorrem em despesas institucionais quando do uso excessivo de mandados, mas os pagamentos não devem exceder os custos reais do provedor de serviços para analisar e responder esses mandados, visto que isso constituiria um incentivo financeiro perverso em oposição aos direitos do usuário.

Notas de Rodapé

  1. ^ Para obter mais informações sobre o contexto para estes princípios e o processo empreendido, consulte [1]
  2. ^ Declaração Universal dos Direitos Humanos, Artigo 12; Convenção Internacional sobre a Proteção dos Direitos de Todos os Trabalhadores Migrantes e dos Membros das suas Famílias, Artigo 14; ONU – Convenção Internacional sobre os Direitos da Criança, Artigo 16; Pacto International sobre os Direitos Civis e Políticos, Artigo 17; convenções regionais, incluindo: Artigo 10 da Carta Africana dos Direitos e Bem-Estar da Criança, Artigo 11 da Convenção Americana sobre Direitos Humanos, Artigo 4 da Declaração de Princípios sobre a Liberdade de Expressão na África, Artigo 5 da Declaração Americana dos Direitos e Deveres do Homem, Artigo 21 da Carta Árabe sobre os Direitos Humanos, e Artigo 8 da Convenção Europeia dos Direitos do Homem e das Liberdades Fundamentais; Princípios de Johanesburgo sobre Segurança Nacional, Liberdade de Expressão e Acesso a Informação; Princípios de Camden sobre Liberdade de Expressão e Igualdade.
  3. ^ Martin Scheinin, “Relatório do Relator Especial para a promoção e proteção dos direitos humanos e das liberdades fundamentais quando se luta contra o terrorismo”, p. 11, disponível em [2]. Veja também o Comentário Geral nº 27, adotado pelo Comitê dos Direitos do Homem sob o Artigo 40, Parágrafo 4 do Pacto Internacional sobre Direitos Civis e Políticos, CCPR/C/21/Rev.1/Add.9, 2 de novembro de 1999, disponível em [3].
  4. ^ Os metadados de comunicações podem incluir informações sobre nossa identidade (informações do assinante, informações sobre o dispositivo), interesses, condições de saúde, pontos de vista políticos e religiosos (sites visitados, livros e outros materiais lidos, assistidos ou ouvidos, pesquisas realizadas, recursos utilizados), interações (origens e destinos das comunicações, pessoas com quem se interagiu, amigos, família, conhecidos), localização (lugares e horários, proximidade de outros), em suma: registros de quase todas as ações que ocorrem na vida moderna, nosso estado de espírito, interesses, intenções e pensamentos mais íntimos.
  5. ^ Por exemplo, somente no Reino Unido há agora aproximadamente 500 mil solicitações de metadados de comunicações por ano, atualmente sob um regime auto-autorizável por parte dos departamentos de polícia, que têm o poder de autorizar suas próprias solicitações de acesso a informações mantidas por provedores de serviço. Neste meio tempo, os dados fornecidos pelos relatórios de transparência do Google mostram que as requisições de dados de usuários apenas nos Estados Unidos aumentaram de 8.888 em 2010 para 12.271 em 2011.
  6. ^ Veja, como exemplos, uma análise do trabalho de Sandy Petland, “Mining Reality”, na publicação MIT's Technology Review de 2008, disponível em [4], bem como o trabalho de Alberto Escudero-Pascual e Gus Hosein, “Questioning lawful access to traffic data”, em Communications of the ACM, volume 47, número 3, março de 2004, páginas 77-82.