Conseil UE Conselho da União Europeia Bruxelas, 23 de novembro de 2016 (OR. en) 14711/16 NOTA de: para: Presidência n.º doc. ant.: 13993/16 LIMITE CYBER 137 JAI 976 ENFOPOL 429 GENVAL 122 COSI 192 COPEN 352 Comité de Representantes Permanentes/Conselho Assunto: Cifragem: Desafios que a utilização da cifragem coloca à justiça penal - próximas etapas - Relatório intercalar PUBLIC Introdução 1. A Internet veio alterar a forma como o mundo comunica nos nossos dias, em que as tecnologias de cifra se estão a tornar parte destes novos modelos de comunicação à escala global. O recurso à cifragem serve as legítimas necessidades de privacidade e segurança e o exercício dos direitos fundamentais das pessoas, bem como as necessidades das empresas e dos governos, que precisam de um ciberespaço seguro e protegido. As empresas começaram a investir e/ou estão a elaborar ferramentas destinadas a oferecer a melhor proteção possível, recorrendo a uma cifragem robusta para assegurar a privacidade dos seus clientes e aumentar a cibersegurança. Qualquer esforço para enfraquecer a cifragem ou os protocolos de segurança em geral pode não só expor informações privadas ou informações comerciais sensíveis à utilização abusiva por outras partes mas também introduzir riscos graves para a cibersegurança. 14711/16 mpm/aap/mjb 1
2. Na prática, qualquer pessoa pode recorrer à cifragem para proteger os seus dados e/ou comunicações pessoais e torná-los seguros. A segurança do tratamento é um elemento importante da proteção dos dados pessoais, sendo a cifragem reconhecida como uma das medidas de segurança no Regulamento geral sobre a proteção de dados recentemente adotado. As empresas, as administrações públicas e as pessoas são incentivadas a utilizar a cifragem para proteger os seus dados e as suas comunicações eletrónicas. A Diretiva Privacidade Eletrónica também incentiva o recurso às tecnologias de cifra para proteger as comunicações dos utilizadores. No entanto, as possibilidades oferecidas pelas tecnologias de cifra estão também a ser exploradas pelos criminosos para ocultar os seus dados e potenciais provas, proteger as suas comunicações e encobrir as suas transações financeiras. 3. De acordo com a iocta (avaliação da ameaça da criminalidade organizada dinamizada pela Internet) de 2016 efetuada pela Europol, embora uma cifragem robusta seja extremamente importante para o comércio eletrónico e as outras atividades no ciberespaço, a garantia de uma segurança adequada depende da capacidade das autoridades de aplicação da lei para investigarem com êxito a atividade criminosa. A utilização da cifragem priva as autoridades de aplicação da lei de oportunidades cruciais de obtenção de provas, em especial devido ao facto de a cifragem já não se limitar aos computadores de secretária mas estar presente cada vez mais em dispositivos móveis, e de muitas plataformas de comunicação disponíveis no comércio disporem agora de cifragem por defeito (por intermédio, cada vez mais, da criptografia de ponta a ponta, que conduz a situações em que os serviços não são intercetáveis). 4. No seminário estratégico sobre o tema "Chaves para o Ciberespaço", organizado em 2 de junho de 2016 pela Eurojust, os peritos trocaram informações sobre várias questões, incluindo a cifragem. Os debates centraram-se principalmente no acesso a dispositivos móveis bloqueados, e em particular na possibilidade de utilizar impressões digitais de um suspeito anteriormente recolhidas para abrir um dispositivo bloqueado a fim de ter acesso aos dados. Verificou-se um consenso geral sobre a necessidade de proteger a vida privada dos cidadãos, inclusive mediante a cifragem, mas também de encontrar um cuidadoso equilíbrio entre essa necessidade e a de combater a criminalidade, assegurando assim um nível mais elevado de segurança para todos os cidadãos. 14711/16 mpm/aap/mjb 2
5. Atendendo à importância cada vez maior deste assunto, na reunião informal dos ministros da Justiça realizada em julho deste ano houve um debate político consagrado à cifragem que resultou no reconhecimento dos problemas levantados por esta questão e num mandato para continuar a examiná-la. Manifestaram-se diferentes opiniões sobre a abordagem a utilizar, desde a manutenção do status quo em matéria de normas para a privacidade e as empresas até à procura de ferramentas mais eficientes para as autoridades de aplicação da lei e até mesmo ao alargamento das soluções a outros domínios, para além da justiça penal. Cartografia do problema 6. A fim de dar seguimento aos resultados do debate político, a Presidência decidiu reunir informações mais aprofundadas através de um questionário, de modo a avaliar a situação atual do ponto de vista das autoridades de aplicação da lei dos Estados-Membros e a ponderar, nessa base, possíveis linhas de ação para o futuro. 7. Foram recebidas respostas de 25 Estados-Membros e da Europol. As respostas permitem chegar às seguintes constatações, comummente partilhadas pela maioria dos Estados- -Membros: a cifragem verifica-se muitas vezes ou quase sempre no contexto das investigações criminais. (Apenas 5 delegações afirmaram deparar-se raramente com ela); a experiência verifica-se tanto com a cifragem em linha (cifragem de mensagens eletrónicas ou de outras formas de comunicação eletrónica e/ou de aplicações comerciais como a Facebook, Skype, WhatsApp ou Telegram) como com a cifragem fora de linha (na maioria dos casos no âmbito de investigações criminais que envolvam dispositivos digitais cifrados e aplicações cifradas); 14711/16 mpm/aap/mjb 3
nem o suspeito, nem o arguido na posse de um dispositivo digital/dados eletrónicos tem a obrigação legal de fornecer às autoridades de aplicação da lei as chaves de cifra/senhas, na maioria dos casos devido ao direito a não testemunharem contra si próprios. Porém, nalguns Estados-Membros foram adotadas diferentes abordagens legislativas que preveem tais possibilidades no que se refere ao suspeito e/ou a terceiros; os prestadores de serviços são obrigados, nos termos da legislação nacional, a fornecer às autoridades de aplicação da lei as chaves de cifra/senhas, sendo que nem sempre é exigida uma decisão judicial. Contudo, as respostas não especificam se esta obrigação se aplica apenas aos prestadores de serviços de comunicações eletrónicas ou se abrange também os prestadores de serviços da sociedade da informação; a interceção/monitorização dos fluxos de dados cifrados a fim de obter dados decifrados é possível em determinadas condições previstas na legislação nacional; é frequentemente exigida uma decisão judicial prévia; o quadro jurídico nacional destinado a garantir a obtenção da prova eletrónica nos casos em que esta está cifrada é considerado suficientemente eficaz, ao contrário do que acontece com as disposições jurídicas gerais aplicáveis à prova eletrónica; a falta de capacidade técnica suficiente, tanto em termos de soluções técnicas eficazes para a decifragem como em termos do respetivo equipamento constitui um dos três principais problemas, seguindo-se a falta de suficientes recursos financeiros e recursos humanos (tanto em termos de números como de formação do pessoal); a necessidade de medidas de caráter prático prevaleceu sobre a necessidade de adotar nova legislação a nível da UE (com exceção de uma delegação que apontou para esta última no que se refere aos domínios da conservação de dados e da interceção legal). 14711/16 mpm/aap/mjb 4
8. Quaisquer medidas que venham a ser tomadas no futuro deverão ter em conta o quadro político definido pelas conclusões do Conselho sobre a melhoria da justiça penal no ciberespaço e sobre a Rede Judiciária europeia em matéria de cibercriminalidade, adotadas em ambos os casos pelo Conselho JAI de junho, sob a Presidência neerlandesa, e os processos em curso daí decorrentes em matéria de prova eletrónica, atendendo a que uma grande quantidade de dados eletrónicos está cifrada; sobre a criação de um quadro de cooperação com os prestadores de serviços, atendendo ao seu papel fulcral; e sobre a operacionalização do setor do aparelho judiciário que trata dos processos ou investigações relacionados com a cibercriminalidade ou a criminalidade possibilitada pelo ciberespaço, facultando-lhe uma plataforma específica para o intercâmbio de conhecimentos especializados em apoio da execução das suas funções. Próximas etapas 9. Na reunião do Grupo Horizontal das Questões do Ciberespaço, realizada em 28 de outubro, a Presidência apresentou uma possível abordagem futura em quatro etapas para a questão da cifragem. Os Estados-Membros acolheram favoravelmente a iniciativa da Presidência e apoiaram em geral as etapas propostas. Exprimiram preferência por manter nesta fase o processo da cifragem separado do processo especializado em matéria de prova eletrónica, sem excluir a necessidade de uma coordenação nem a possibilidade de conciliar os dois processos no futuro, bem como por centrar os esforços nas soluções políticas e práticas, e não na elaboração de legislação. As delegações reconheceram que a cifragem é uma ferramenta para preservar a privacidade e a cibersegurança na sociedade. Salientaram que importa não transmitir a mensagem de que a cifragem deveria ser enfraquecida. É certo que a segurança das pessoas no ciberespaço deverá ser garantida, mas isso passa sobretudo por uma solução equilibrada que garanta ao mesmo tempo a proteção dos direitos humanos e a segurança das pessoas e da sociedade. As delegações sublinharam a importância da formação e congratularam-se com a iniciativa da Europol e da ENISA no sentido de criar um Grupo de Trabalho Conjunto sobre a Segurança e Proteção em Linha encarregado de debater, avaliar e procurar soluções para combater a utilização abusiva da cifragem e do anonimato em linha. 14711/16 mpm/aap/mjb 5
10. A abordagem em 4 etapas, aperfeiçoada na sequência dos debates iniciais havidos no Grupo Horizontal das Questões do Ciberespaço, foi apresentada ao CATS em 18 de novembro de 2016, tendo merecido um amplo apoio. Os Estados-Membros destacaram a necessidade de abordar tanto os aspetos técnicos como os aspetos jurídicos (justiça penal) da questão e de centrar os futuros trabalhos nas soluções práticas suscetíveis de facilitar a ação das autoridades de aplicação da lei sem comprometer a cifragem como tal nem a proteção da privacidade dos cidadãos. Os Estados-Membros reiteraram mais uma vez a importância de assegurar um adequado equilíbrio a este respeito. Declararam ainda ser a Comissão a mais bem colocada para organizar o processo de reflexão com vista a manter a ligação com o processo especializado relativo à prova eletrónica e evitar quaisquer sobreposições, mantendo ao mesmo tempo uma distinção entre os dois processos. 11. Durante os debates, algumas delegações aludiram mais especificamente ao papel dos prestadores de serviços, tendo sugerido que se examinasse mais atentamente o alcance das suas responsabilidades e obrigações. Outras delegações lembraram a necessidade de manter uma atitude prospetiva, atendendo à rápida evolução das tecnologias, bem como de assegurar que as agências pertinentes da UE, como a Europol e a Eurojust, sejam estreitamente associadas a este processo. 12. A Rede Judiciária Europeia para a Cibercriminalidade realizou a sua reunião inicial em 24 de novembro de 2016, na qual debateu também os desafios técnicos e jurídicos no que respeita à cifragem e os obstáculos jurídicos às investigações encobertas em linha. Prevê-se que nas próximas reuniões a Rede continue os debates sobre estas questões e proceda a um intercâmbio de informações sobre as boas práticas e as legislações nacionais pertinentes. 14711/16 mpm/aap/mjb 6
13. Por conseguinte, convida-se o Conselho a: tomar conhecimento dos progressos realizados até à data; e aprovar a abordagem em quatro etapas, descrita nos pontos A-D infra, enquanto base para os futuros trabalhos neste domínio: A. Lançamento de um processo de reflexão, liderado pela Comissão, sobre os desafios enfrentados pela justiça penal no que respeita à utilização da cifragem, com o objetivo de definir soluções práticas suscetíveis de permitir a eventual divulgação de dados/dispositivos cifrados através de uma abordagem e um quadro integrados da UE. Para assegurar a coerência e evitar duplicações, o processo de reflexão deverá ter em conta os progressos e integrar, quando relevante, os resultados do atual processo especializado em matéria de prova eletrónica e do processo tendente a desenvolver um quadro comum para a cooperação com os prestadores de serviços tendo em vista obter categorias específicas de dados. B. Explorar as possibilidades de melhorar, tanto a nível nacional como a nível da UE, as competências técnicas para enfrentar os atuais e futuros desafios decorrentes da cifragem, nomeadamente reforçando as capacidades técnicas já disponíveis no seio da Europol, incentivando os Estados-Membros a utilizá-las dentro dos limites do seu mandato e desenvolvendo a Europol para esta se tornar um centro europeu de perícia em matéria de cifragem. Poderá ser também ponderada a assistência de outras entidades relevantes da UE, como por exemplo a ENISA. 14711/16 mpm/aap/mjb 7
C. Incentivar os membros da Rede Judiciária Europeia para a Cibercriminalidade a introduzirem também os aspetos práticos/operacionais da cifragem no seu fórum de discussão e intercâmbio de boas práticas e conhecimentos especializados. Para dar resposta aos desafios colocados pela cifragem afigura-se essencial trabalhar em estreita cooperação e consulta com a Europol, a Eurojust e a Rede. D. Aprofundar os aspetos práticos/operacionais das formações em matéria de cifragem facultadas pelas entidades da UE às autoridades de aplicação da lei e intensificar os esforços de desenvolvimento de capacidades para assegurar que os profissionais disponham de um conhecimento adequado e atualizado e de capacidade para obter e tratar provas eletrónicas. 14711/16 mpm/aap/mjb 8