Uma das principais controvérsias do trabalho do Congresso em 2020 é o projeto de lei n° 2630, de 2020, que “institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet”.

De autoria do senador Alessandro Vieira (Cidadania-SE) e relatado pelo senador Ângelo Coronel (PSD-BA), o texto que ficou conhecido como “PL de combate às fake news” foi aprovado pelo Senado em 30 de junho passado e, no momento, aguarda análise pela Câmara dos Deputados.

Um grupo informal de deputados tem realizado um ciclo de debates sobre a matéria. Um tema central de divergência tem sido a chamada “rastreabilidade” de mensagens encaminhadas em aplicativos de mensagem, como o WhatsApp ou o Telegram, prevista no artigo 10.

Pela proposta, os serviços de mensagem deverão manter por três meses o registro de mensagens “encaminhadas em massa”. Assim serão definidas as que, em um período de 15 dias, sejam enviadas por mais de cinco usuários e recebidas por mais de mil usuários.

A pretensão declarada é enfrentar a desinformação, a partir da ideia de que essas mensagens "em massa" não são privadas e deveriam ser vigiadas.

Os registros deverão indicar quem encaminhou, data, horário, e o número total de usuários que receberam a mensagem em questão. E estipula-se a necessidade de autorização judicial para acesso de terceiros a esses registros, seja para constituição de prova em uma investigação criminal seja para instruir um processo penal já ajuizado.

A despeito dessa limitação, entendemos que o artigo 10 deveria rebatizar o projeto de lei. Não se trata de combate a fake news, tampouco de responsabilidade, mas de um "PL da rastreabilidade das comunicações pessoais" ou "PL da vigilância em massa em apps de mensagem".

Basicamente, esse dispositivo do PL 2630/2020 é ineficaz ao que se propõe e soluciona problemas que não existem, ao preço de criar vários novos problemas graves.

Embora tenha havido muita discussão pública, quase nunca o assunto é tratado com a devida franqueza. São negligenciadas as implicações da proposta e a complexidade de sua implementação.

É gritante a inadequação das analogias e metáforas em defesa do texto. Por isso, listamos, de maneira objetiva, dez razões para que a Câmara dos Deputados rejeite integralmente o artigo 10 do projeto.

1. Manter registros de "cadeias de encaminhamento de mensagens" vincularia diretamente usuários a conteúdos de mensagens instantâneas. A proposta busca identificar quem encaminhou uma mensagem considerada ofensiva ou danosa. Pretende-se, a partir do conteúdo conhecido de uma mensagem, chegar ao usuário responsável por determinado encaminhamento.

Todavia, a partir do usuário, igualmente será possível chegar a todas mensagens associadas a ele (ainda que por meio de metadados relativos ao conteúdo). A base de dados resultante permitirá saber quem conversa com quem, quando e o quê (mesmo que o conteúdo armazenado seja codificado ou criptografado).

2. A proposta quebrará a criptografia de ponta a ponta. A criptografia envolve a codificação de dados e informações para permitir que somente tenha acesso quem possua as chaves necessárias para decodificação. Na modalidade "de ponta a ponta", a criptografia assegura o sigilo do conteúdo das mensagens até mesmo contra o provedor do serviço de mensagens. Esse modelo se adotou como padrão nos apps de mensagens instantâneas, sobretudo após o escândalo de espionagem denunciado por Edward Snowden.

O artigo 10 não aborda a criptografia das mensagens, mas obriga os provedores como WhatsApp a bisbilhotar dispositivos e fluxos de mensagens para coletar e armazenar dados sobre o que seus usuários enviam e recebem. Logo, debilita a criptografia no modelo de ponta a ponta e diminui consideravelmente a confidencialidade que se poderia esperar do serviço.

3. Registrar uma "cadeia de encaminhamento de uma mensagem" não equivale a manter "registros telefônicos", ou "registros de conexão" e "de acesso a aplicação de internet". Os registros telefônicos (que devem ser guardados por cinco anos pelas operadoras de telefonia fixa e móvel) apenas identificam data, horário, origem e de destino de determinada ligação. Já provedores de serviços online, nos termos do Marco Civil, devem guardar (por seis meses) só números IP atribuídos aos computadores ou celulares quando acessam seus serviços.

Nenhum desses registros vincula diretamente usuários ao teor das ligações ou dos dados recebidos e enviados (como será feito com os encaminhamentos de mensagem, caso o PL 2630 seja aprovado integralmente).

4. Coletar, armazenar e tratar metadados é tão perigoso quanto acessar o conteúdo das comunicações privadas. Não é verdade que a coleta de metadados não viole a privacidade. Comportamento, padrões de consumo, relações sociais, movimentação geográfica e até a identidade: metadados podem "dizer basicamente tudo sobre a vida de uma pessoa", nas palavras de um ex-procurador geral da NSA, a maior agência de inteligência do planeta. O artigo 10 do PL 2630 trata de metadados relacionados tanto aos usuários e, pior, quanto ao teor de comunicações privadas.

5. Singularizar uma mensagem e identificar de forma inequívoca sua autoria é praticamente impossível. Não há meio infalível de gerar uma "impressão digital" para mensagens instantâneas. Ainda que arquivos multimídia (vídeo, imagem, som) possam ser marcados com certo grau de confiabilidade, a "identidade" de qualquer texto é alterada pela mera adição, supressão ou mudança de uma única letra ou outro caractere (como um pouto ou uma vírgula).

6. Prever qual mensagem será ou não viral é impossível. É inviável prever a escala e o alcance de um conteúdo online. Assim, durante os 15 dias previstos no artigo 10 os provedores teriam que preservar dados de todas mensagens de todos usuários e realizar uma comparação constante do teor de todas elas, para calcular quais chegaram a 1.000 encaminhamentos por 5 usuários.

Sendo recorrente a viralização de conteúdos originais de grupos privados (família, amigos, equipes de trabalho) divulgados sem consentimento, o critério do PL levaria ao rastreamento de mensagens inocentes por um mero aspecto numérico, fora do contexto inicial e a despeito de intenção na origem ou no encaminhamento.

7. Burlar "o registro da cadeia de encaminhamento" é muito fácil. Ao focar no encaminhamento, o PL onera sem justificativa e em excesso quem encaminha mensagens de boa-fé, e não será capaz de resolver o problema da distribuição organizada de desinformação.

Encaminhar é apenas uma das múltiplas formas de espalhar mensagens instantâneas, sejam elas avisos úteis ou mentiras. Antes, tal conteúdo (normalmente publicado e em algum site) já foi enviado a grupos e usuários individuais, por exemplo, via listas de transmissão ou por sistemas automatizados que até fingem digitar cada letra de uma mensagem. E mesmo no encaminhamento, a cadeia pode ser facilmente quebrada por pequenas mudanças no conteúdo ou pelo uso de um número de telefone estrangeiro, fora da jurisdição brasileira.

8. A proposta reduzirá a segurança do ecossistema digital no Brasil como um todo. Além do risco à confidencialidade da comunicação por mensagens instantâneas, a proposta aumentaria a complexidade da arquitetura técnica desses aplicativos, ao obrigar a criação e manutenção de enormes bases de dados para permitir a correlação de dados de usuários e de mensagens. O funcionamento de sistemas mais complexos é mais suscetível a falhas de funcionamento e a vulnerabilidades exploráveis por ataques, além de elevar a chance de vazamentos de dados pessoais.

9. A proposta gerará prejuízos econômicos ao Brasil. A minimização do tratamento de dados pessoais é assegurada como princípio jurídico no Marco Civil da Internet e na Lei Geral de Proteção de Dados Pessoais. Mais do que proteger a privacidade e outros direitos fundamentais, bem como conferir mais segurança cibernética, essa garantia, na prática, reduz custos operacionais e minimiza riscos para o desenvolvimento de serviços e aplicações de internet.

O PL atrapalha o país: reduz a proteção de dados pessoais necessária para fazermos negócios internacionais vinculados à economia digital e, ainda, aumenta os custos operacionais para provedores atuarem no Brasil.

10. A proposta é ilegal e inconstitucional. Essa "maximização" da coleta e do tratamento de dados pessoais contraria o Marco Civil da Internet, a Lei Geral de Proteção de Dados Pessoais e até a Constituição Federal.

A autodeterminação informativa foi reconhecida pelo Supremo Tribunal Federal como uma garantia fundamental decorrente da vida privada e da intimidade, cuja proteção não se contrapõe, mas constitui condição necessária à efetivação de direitos de minorias, tais como honra, liberdade de expressão e saúde.