Grupo 3 Sigilo das Comunicações Respostas às perguntas dos outros grupos

Transcrição

1 Grupo 3 Sigilo das Comunicações Respostas às perguntas dos outros grupos Ana Beatriz Willemann (12/ ), Caroline Rodrigues (12/ ), Karoline Cord (12/ ), Manuella Amaral (12/ ), Mariana Fontoura (12/ ), Thales Lemos (12/ ) Grupo 1: O Centro de Defesa Ciberne tica do Exe rcito - CDCiber, criado por portaria do Comando do Exe rcito, tem ale m do combate a guerra ciberne tica a func a o de agir no a mbito das telecomunicac o es inerentes ao Ministe rio da Defesa. Tomando como base o caso Snowden-Miranda em que ha o conhecimento de espionagem no sistema de dados do Ministe rio de Minas e Energia e, sabendo que por portaria e designado o Ministe rio da Defesa o responsa vel pela Defesa Ciberne tica na realizac a o de grandes eventos de a mbito nacional como Copa do Mundo e Olimpi adas, hipoteticamente, qual seria o procedimento no quesito de protec a o a soberania e seguranc a nacional caso houvesse a quebra de sigilo no referido Ministe rio num peri odo de evento internacional, sabendo que a telecomunicac a o inerente ao Ministe rio nesses casos tem caracteri sticas especi ficas? Havendo tal quebra, a Age ncia Brasileira de Intelige ncia estaria inserida nesse contexto uma vez que o artigo 3 do decreto 4376/2002 diz que e tarefa afeta a este o rga o a contra-intelige ncia a ac o es que afetem a salvaguarda e seguranc a nacional, ac o es que poderiam ser consideradas contra-intelige ncia a brasileira? Ate onde seria a compete ncia do Ministe rio da Defesa e a compete ncia da Abin? O CDCiber, ao que se diz, consiste em órgão competente à coordenação e implantação do Setor Cibernético de Defesa. Alinha-se ao planejamento estratégico do Exército em grandes eventos internacionais realizados no território brasileiro. Nesse sentido, elenca-se rol de ações preparatórias que toma à defesa da soberania do país: estabelecimento de doutrina e regras específicas ao evento; treinamento efetivo contra a guerra cibernética (no qual se abrange comando, controle, armas e vigilância), inclusive no que se refere a potenciais conflitos armados; desenvolvimento de inteligência cibernética de natureza civil; integração às entidades de segurança nacional; tomada de

2 ação ofensiva no campo da ciberguerra; capacitação profissionalizada ao combate de crimes virtuais; proteção de redes e sistemas; etc. Pelas atribuições que se elegem ao CDCiber, aponte-se o caráter organizacional pertinente ao órgão: suas atividades referem-se à preparação de defesa à segurança cibernética do país. Estabelece-se também atuação específica da SESGE/MJ (Secretaria Extraordinária de Segurança para Grandes Eventos): a configuração de estrutura organizacional para treinar e capacitar as forças de segurança pública diante de crimes cibernéticos, de forma a evitar danos a sistemas de dados sensíveis do governo ou dos cidadãos brasileiros. Ademais, quando o Brasil sedia grandes eventos, a exemplo da Copa do Mundo agora em 2014, publicam-se portarias específicas para regulamentação e estabelecimento de estratégias de atuação em diferentes searas. Importante ressaltar que o Ministério da Defesa, em 2008, apresentou a Estratégia Nacional de Defesa (END), que delegou ao Exército Brasileiro a liderança da defesa cibernética em território nacional. É nesse contexto que se insere a atuação do CDCiber. Por outro lado, a Agência Brasileira de Inteligência (ABIN) foi criada pela Lei nº de 1999, que estruturou o Sistema Brasileiro de Inteligência, do qual a ABIN é o órgão central. Como bem ressaltado, a Agência tem, dentre as suas funções, o papel de atuar na contra-inteligência, que nada mais é do que a tomada de medidas para salvaguardar conhecimentos sensíveis do país e proteger assuntos sigilosos, neutralizando as ações de inteligência realizadas por interesses estrangeiros. Tais medidas podem tomar, dentre outras, a forma de criptografia e desinformação (fornecimento voluntário de informações sem relevância ou inverídicas para enganar agentes de inteligência). A contra-inteligência tem um caráter preventivo. Neste sentido, a atuação da ABIN se insere no contexto da espionagem, tanto na realizada pelo país, como na proteção daquela empreendida por nações estrangeiras. Apesar de diferente do papel do CDCiber, que é voltado à proteção de crimes cibernéticos, como invasões de hackers, a realidade do atual sistema brasileiro é que existem diversos órgãos direta ou indiretamente inseridos no contexto de defesa das informações. Portanto, caso houvesse a quebra de sigilo em determinado Ministe rio, num peri odo de evento internacional, os dois órgão atuariam no caso, mas por motivos e com

3 finalidades diferentes. A competência do CDCiber está afeta à questão estritamente cibernértica acrescida de competência específica para gerenciar questões relacionadas à segurança cibernética durante eventos internacionais. Já a competência da ABIN é mais ampla, englobando todas as hipóteses de espionagem ou quaisquer ações que ameacem a segurança nacional, inclusive aquelas realizadas por meio cibernético. Diante disso, o CDCiber atuaria por se tratar de quebra de sigilo em período de evento internacional e com a finalidade, além da defesa da soberania do país, de garantir especificamente a segurança cibernética do país de forma a evitar danos a sistemas de dados sensíveis do governo ou dos cidadãos brasileiros. Enquanto que a ABIN atuaria por se tratar genericamente de ataque à soberania nacional e com essa mesma finalidade genérica de salvaguardar conhecimentos sensíveis do país e proteger assuntos sigilosos. Grupo 2: Se o Brasil um dia possuir, situados em seu território nacional, bancos de armazenamento de dados onde outros países tenham guardadas informações de suma importância para seus governos, e, por algum motivo, nosso Estado decidir secretamente intervir nestes bancos de dados, sejam eles de propriedade publica ou privada, para extrair estas informac o es, ele estara afrontando o principio constitucional da igualdade entre os Estados (Art. 4o, V, CR)? Como afirmado durante a apresentação do grupo, uma invasão arbitrária de dados por parte de um Estado tem como consequência o desrespeito a diversos princípios, tantos constitucionais como princípios do Direito Internacional. A Constituição Federal brasileira prevê em seu Art 4º, inciso V, como um de seus princípios de suas relações internacionais, o princípio da igualdade entre os Estados, este considera que todos os Estados são iguais entre si, detentores dos mesmos direitos e obrigações, afirmando, desta forma, a soberania dos Estados e o respeito mútuo entre as nações. Observando este princípio, fica eminente que uma suposta invasão de dados de outros países por parte do Estado brasileiro afrontaria este princípio, por consistir em uma invasão arbitrária de dados pertencentes a outras nações e seus cidadãos, impondo assim a soberania do Estado brasileiro em detrimento da dos demais países, não tratando de

4 forma igualitária o país invadido e não respeitando os seus direitos. Ademais, não apenas este princípio seria afrontado, como também o da prevalência dos direitos humanos, com a invasão de dados de cidadãos, o princípio da não intervenção, além de afrontar e desrespeitar a soberania dos Estados e os direitos a liberdade de expressão e privacidade dos cidadãos. É evidente que casos de invasões de dados, como o do Edward Snowden, apresentam uma grande afronta a princípios e uma grande ameaça ao Direito Internacional, interferindo negativamente, principalmente, na soberania dos Estados e nos direitos dos cidadãos e dos países. Grupo 4: No que concerne aos danos geopolíticos de Caso Snowden e Miranda, considerando um "data security breach" paradigmático, como poderíamos traçar uma relação, no contexto brasileiro atual, entre os ditames previstos na Lei n /1996 e o sigilo de dados pessoais no âmbito das telecomunicações? A Lei surge para preencher a lacuna existente no inciso XII, do artigo 5o, da Constituição Federal, em que fica ressalvada a possibilidade de violação do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas em caso de ordem judicial, desde que atendam às hipóteses e à forma estabelecida em lei para fins de investigação criminal ou instrução processual penal. Em resumo, a Lei surge com o fito de regulamentar as interceptações telefônicas, de telemática e informática que autorizam a quebra de sigilo de dados pessoais. No entanto, no que diz respeito aos danos geopolíticos acometidos no Caso Snowden e Miranda, não há que se falar em punição sob a égide da Lei 9.296, uma vez que este data security breach não se submete a um regime nacional de controle regulatório, mas sim a uma governança internacional. Grupo 5: Como solucionar conflitos relacionados ao armazenamento de dados em nuvem, tendo em vista os diversos países e ordenamentos jurídicos envolvidos, na hipótese da não existência de tratado internacional assinado ou ineficaz no que tange à abordagem dos problemas inerentes? O atual panorama de resolução de conflitos internacionais envolvendo a

5 computação em nuvem é incerto. Diversos autores defendem o trabalho conjunto entre os países não só para a criação de um arcabouço legal harmônico, mas também para definição clara de critérios de jurisdição. Na visão de Brad Smith a construção de um tratado mundial ainda é extraordinariamente difícil. Na verdade, a elaboração de leis próprias razoavelmente semelhantes, aliada a alguns anos de prática, pode facilitar a harmonização em âmbito regional e posteriormente originar uma organização mundial responsável pela solução de controvérsias. Atualmente, cabe às empresas buscarem se adaptar, na medida do possível, às leis dos países em que atuam. O advogado, no aspecto prático, deve saber utilizar e adaptar as leis existentes. Neste aspecto, a maioria dos problemas de territorialidade que surgem serão analisados no campo do Direito Internacional Privado, de modo que serão aplicados critérios de domicílio e local de celebração do contrato. Ilustra a prática brasileira de resolução de conflitos nesta área a decisão recente do STJ, em que determinou à Google Brasil que cumprisse ordem judicial de quebra de sigilo de comunicações por , envolvendo computação em nuvem. Apesar de a empresa alegar que os dados estavam armazenados nos Estados Unidos, e que por isso estariam sujeitos à legislação daquele país (onde seria ilícita a divulgação), a Relatora, Ministra Laurita Vaz, entendeu que a empresa foi constituída sob as leis brasileiras e deveria se submeter à legislação pátria. Por fim, é necessário ressaltar que muitas são as questões que permanecem em aberto e que só poderão ser solucionadas com cautela e cooperação entre os países. **O número do processo não é divulgado em razão de sigilo judicial. A notícia pode ser acessada em Grupo 6: Diferencie interceptação, escuta telefônica e gravação telefônica. A interceptação telefônica é a captação da conversa feita por um terceiro, sem o conhecimento dos interlocutores, que depende de ordem judicial, nos termos do inciso

6 XII do Art.5 CF/88, regulamentada pela LGT 9296/96. A escuta telefônica é a captação da conversa feita por um terceiro com o conhecimento de apenas um dos interlocutores já a gravação telefônica é feita por um dos interlocutores sem o consentimento do outro. As duas últimas formas mencionadas são estão submetidas ao rigor da primeira, podendo ser utilizadas como prova em um processo sem a necessidade de ordem judicial. Grupo 7: A cooperação regulatória entre países, no que diz respeito às medidas tomadas com o fim de definir os limites institucionais ao sigilo, é considerada uma questão de segurança nacional ou de internacionalização do governo? É um interesse nacional, mas, tendo em vista que a internet constitui um meio aberto e interativo de constante atualização e troca de informações, sem barreiras físicas ou geográficas, é necessária, para que essa definição dos limites institucionais do sigilo ganhe legitimidade e eficácia de fato, a cooperação regulatória entre países e a adoção conjunta de medidas e atitudes que possibilitem a consecução desse objetivo comum. Nesse sentido, adquire feições de interesse a ser defendido pela diplomacia no âmbito de discussão de temas afetos à Governança da Internet ( desenvolvimento e aplicação por governos, setor privado e sociedade civil, em seus respectivos papéis, de princípios comuns, normas, regras, processos decisórios programas que moldam a evolução e o uso da Internet - Grupo de Trabalho sobre Governança da Internet (GTGI) da ONU). Grupo 8: Quanto à computação em nuvem, o que se pode afirmar de sua segurança? Existem apenas um servidor que armazena todas as informações em nuvem de determinada empresa? A computação em nuvem tem se tornado cada vez mais presente nos dias de hoje, envolvendo tanto empresas quanto indivíduos. Inicialmente, a ideia de armazenar dados sigilosos em servidores de terceiros pode causar certo receio quanto à segurança. Contudo, empresas como Microsoft e Google têm empreendido esforços em demonstrar que utilizar os serviços da nuvem é seguro. De fato, é de se reconhecer que o armazenamento de dados pessoais em dispositivos próprios (ou, ainda, em papel) não é necessariamente mais seguro do que

7 armazenar em datacenters. O número de crimes cibernéticos cresce paralelamente à ampliação do acesso à internet, não bastassem os próprios descuidos a que indivíduos mais leigos ou desatentos estão sujeitos. Neste sentido, é de se imaginar que o armazenamento de dados em servidores de empresas preparadas, com investimentos maciços em tecnologia de segurança, que sigam padrões internacionais como o ISO (International Organization for Standardization), além da realização de backups em locais diferentes, visando proteger de incêndios, terremotos e outros desastres da natureza, pode ser mais seguro do que armazenar localmente. Um dos aspectos que ainda pode ser mencionado é a tentativa do governo de acesso aos dados armazenados. Em relação a este ponto, o consumidor deve se atentar a fatores como a exigência de mandato judicial para fornecer informações, o aviso aos clientes de requerimentos do governo, publicação de relatórios de transparência, dentre outros. Um ranking das empresas que mais se esforçam em proteger os dados de seus consumidores e o da organização Eletronic Frontier Foundation: Who s got your back. Por fim, a armazenagem de informações em um ou mais servidores depende das necessidades do contratante: quanto mais intenso o uso de dados ou de processamento, mais servidores adicionas podem ser necessários. Um exemplo é a venda de ingressos para o Rock in Rio, em que a empresa somente necessita de servidores adicionas durante determinada época do ano. ** O ranking de 2014 pode ser acessado em: Grupo 9: Tendo em vista a proteção da sociedade da informação e das comunicações por meio da internet de modo geral, como compactuar segurança e sigilo dos dados pessoais - direito à privacidade -, já que a tentativa pelo governo de evitar ataques pode ser invasiva em si mesma, e como a Lei /14 contribui na manutenção governamental desse sigilo? Na atualidade há uma grande circulação de informação de teor íntimo que ocorre através do meio virtual, o que gera uma maior preocupação a respeito do sigilo dos dados

8 pessoais. Acerca desse tema Liliana Minardi Paesani apresenta a liberdade de informática como sendo o direito de dispor da informação, de preservar a própria identidade informática, isto é, de consentir, controlar, retificar os dados informativos relativos à própria personalidade. É justamente essa identidade informática que e sigilosa e deve ser protegida pelo Estado. No entanto, a legislação busca restringir o acesso deste aos dados pessoais, justamente para que este não haja uma grande interferência do Estado no âmbito privado do indivíduo. Há inúmeros casos em que a interseção governamental só é feita através de ordem judicial, como no caso da interceptação telefônica, não podendo o Estado, livremente, interferir na espera particular do sujeito. Outro ponto a ser realçado é que essa ordem judicial só é executada se devidamente justificada em parâmetros legais. No que tange à Lei /14, vemos que ela se estrutura de maneira a proteger as informações pessoais sujeitas a processamento em sistemas informáticos. Constrói-se, então, a ideia de inviolabilidade dos dados pessoais, o que inclui os dados de conexão (números IP e que indicam o horário UTC) e os dados de acesso a aplicações de Internet, como, por exemplo, que sítios têm sido visitados, que aplicativos tem sido usados, qual sua frequência, quais foram os programas e arquivos baixados, e com quem o usuário interagiu. Há, porém, duas exceções a esta regra. A primeira consiste no fato de que dados cadastrais podem ser requisitados diretamente pelo Ministério Público, pela Polícia ou por autoridades administrativas competentes, no curso de uma investigação cível ou criminal ou de um processo administrativo. A segunda se relaciona com os demais dados dos usuários que só podem ser obtidos por meio de autorização judicial, no curso de uma investigação civil, criminal ou administrativa, ou para a instrução de ação cível, trabalhista ou penal. De acordo com a Lei do Marco Civil da Internet Os provedores devem seguir uma série de medidas de segurança informática e rotinas de auditoria para verificar vulnerabilidades a vazamentos ou a ataques externos. Cabe também aos provedores recusar requisições de dados cadastrais que não tenham base em procedimentos devidamente instaurados pela autoridade competente do Ministério Público, da Polícia ou da Administração Pública. Por igual, os provedores devem recusar o fornecimento do conteúdo de comunicações privadas que estejam armazenados em seus servidores, sem

9 prévia ordem da autoridade judiciária cível ou criminal competente (art. 7o, inciso III, do Marco Civil). Por fim, os provedores só devem realizar interceptações telemáticas ou viabilizá-las (como, por exemplo, mediante duplicação do fluxo de dados) em atendimento a ordem do juiz criminal competente (art. 7o, inciso II, do Marco Civil), expedida, neste caso, na forma da Lei 9.296/1996. Logo, podemos concluir que o direito ao sigilo é algo garantido Constitucionalmente e que teve seu uso regulado por lei posterior. O Estado veda qualquer abuso a este direito, mas só interfere nos casos previstos em lei, como os acima exemplificados. Grupo 10: É mais fácil compreender de que forma o Brasil pode regular internamente o direito à intimidade. Mas de que forma impedir e punir os criminosos ou mesmo países (como os EUA) que desrespeitem esse direito rompendo com o sigilo das telecomunicações? Em plano global de regulação do direito à intimidade, há que se estabelecer um amálgama cooperativo à proteção da privacidade em uma sociedade de vigilância. Resta necessário o estabelecimento de políticas claras de segurança, transpostas não só ao nível governamental, mas também a sistemas privados que alinhem a disposição de dados pessoais de plataformas como Google, Facebook e Apple com a garantia de sigilo ao usuário. Seria investimento em inteligência nacional, contra-inteligência e proteção interna à possibilidade de vigilância externa. Nesse viés, também seriam necessárias políticas de diplomacia que estimulassem e mediassem a internacionalização de leis de tecnologia e o estabelecimento de uma diretriz global de hipóteses de compatibilização entre o respeito à privacidade pessoal e a necessidade de informações serventes à prevenção de ameaças públicas de ordem mundial. Desse modo, ao impedimento da ruptura do sigilo das telecomunicações, caberiam políticas continentais e globais para estabelecer limites de intervenção investigativa às esferas privadas: seria a introdução de juízo de conveniência na dicotomia entre segurança e privacidade. Para tanto, há ainda que se progredir à criação de órgão de amplitude ultra-fronteiriça em que se possibilite o diálogo mundial para

10 estabelecer padrões e referências regulatórias necessárias no âmbito das telecomunicações. Possibilidade cabível também seria estabelecer sanções políticas e econômicas como meio punitivo e extintivo de condutas que exorbitem os limites nacionais colocados à vigilância. Dada a importância econômica do país por sua vocação exportadora de enorme variedade produtiva, tal conduta perfaria efeito inibitório, desde que alinhada à incorporação concreta de estudos que tragam o impacto político- econômico que eventuais sanções possam transpor ao governo brasileiro. Pergunta do Professor: A camada da estrutura lógica da rede (Internet) é telecomunicação? Quem é responsável pela regulamentação dessa camada? Conforme explicação apresentada por Everton Lucero, em seu livro Governança da Internet: aspectos da formação de um regime global e oportunidades para a ação diplomática, a camada de estrutura lógica da rede consiste nas definições técnicas atinentes à uniformização do sistema, de forma a permitir o transporte neutro e transparente de informações. O trecho a seguir explica melhor no que consiste essa camada: A camada intermediária se refere às tarefas de transporte de dados dentro das redes e entre as mesmas. Consiste na uniformização de regras, [...] um sistema de coordenação unificado, com alcance global. [...] Incluem-se nessa pauta o processo de definições técnicas sobre protocolos de endereçamento e transporte de dados, as regras para lidar com a distribuição de endereços e sua eventual escassez, a autoridade para fazer associações entre endereços da Internet e locais ou equipamentos para os quais esses endereços devem apontar, o poder de alterar a raiz do sistema de endereçamento, a definição de modelos de negócios para registro de nomes de domínios, a disciplina para acesso a dados de pessoas físicas e jurídicas responsáveis por sítios eletrônicos, eventuais leis sobre a retenção de informações por empresas provedoras de acesso, entre outras questões. (LUCERO, Everton. Governança da Internet: aspectos da formação de um regime global e oportunidades para a ação diplomática / Everton Lucero. - Brasília: Fundação Alexandre de Gusmão, p. 42) Esse conjunto de atividades não são telecomunicações, mas serviços, programas e definições técnicas que permitem as telecomunicações. Como dito acima, são responsáveis pelo transporte neutro e transparentes de conteúdos. Segue trecho que explicita esse sentido:

11 As regras atinentes à estrutura lógica não fazem parte do universo das telecomunicações. Como se verá no subcapítulo referente ao surgimento e evolução da Internet, desde o início procurou-se manter separação entre os serviços de acesso e conexão física à rede e o sistema lógico de transporte e indexação dos dados nela circulados. Da mesma forma, os serviços de transporte de dados não devem, em princípio, atentar para o conteúdo dos pacotes transportados [...] (LUCERO, Everton. Governança da Internet: aspectos da formação de um regime global e oportunidades para a ação diplomática / Everton Lucero. - Brasília: Fundação Alexandre de Gusmão, p ) A regulação das tarefas de transporte de dados dentro das redes de internet e entre as mesmas cabe, no Brasil, ao CGI.br - Comitê Gestor da Internet do Brasil. Entre as atribuições do CGI.br estão: (i) a proposição de normas e procedimentos relativos à regulamentação das atividades na Internet; (ii) a recomendação de padrões e procedimentos técnicos operacionais para a Internet no Brasil; (iii) o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil; (iv) a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país; (v) a coordenação da atribuição de endereços Internet (IPs) e do registro de nomes de domínios usando <.br>; (vi) a coleta, organização e disseminação de informações sobre os serviços Internet, incluindo indicadores e estatísticas. Apesar de não consistirem em serviços de telecomunicações, alguns pontos são regulados pela Anatel em Resoluções acerca de serviços de telecomunicações ou Serviços de Valor Adicionado. Um exemplo de serviço de telecomunicação no âmbito da internet é dado em uma resposta da ANATEL à pergunta É necessário contratar provedor quando se contrata uma empresa para fornecer internet via satélite? : Para responder esta questão é importante observar que o provimento de internet envolve a existência do serviço de telecomunicações que possibilita a conexão entre dois pontos e do Serviço de Valor Adicionado, que acrescenta ao serviço de telecomunicações novas utilidades relacionadas ao acesso. Em outras palavras, o serviço de telecomunicações é o que possibilita a conexão do usuário ao provedor de internet que irá realizar o acesso do usuário à rede mundial de computadores. Dessa forma, considerando que o usuário, ao contratar o acesso à internet via satélite, faz uso desses dois serviços distintos, é necessária a contratação tanto do provedor de acesso à internet como do prestador de serviços de telecomunicações. Todavia, destaque-se que, não havendo disposição regulamentar em contrário, a prestação de serviços de telecomunicações e o

12 provimento a internet podem ser contratados com uma única entidade. (ANATEL. Dúvidas frequentes: Satélites. Disponível em < Acessado em: 21 de outubro de Sem grifos no original.)