Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

A questão da criptografia do WhatsApp: julgamento do caso pelo Supremo Tribunal Federal sob a perspectiva da segurança das comunicações

Exibindo página 1 de 2
Agenda 08/06/2017 às 17:00

O tema da interceptação judicial das comunicações realizadas pelo aplicativo WhatsApp demanda uma necessária ponderação de valores: direito à privacidade, à inviolabilidade da comunicação privada, à proteção e à segurança dos dados pessoais e a necessidade de instruir a investigação criminal.

O Supremo Tribunal Federal, na análise da constitucionalidade do bloqueio por ordem judicial do WhatsApp, em relação à ADPF n. 403 e ADI n. 5527[1], fixou algumas questões sobre a criptografia adotada no aplicativo,  para debate em audiência pública, a seguir apresentadas:

“1 - Em que consiste a criptografia ponta a ponta (end to end) utilizada por aplicativos de troca de mensagens como o WhatsApp?

2 – Seria possível  a interceptação de conversas e mensagens realizadas por meio do aplicativo WhatsApp, ainda que esteja ativada a criptografia ponta a ponta (end to end)?

3 – Seria possível desabilitar a criptografia ponta a ponta (end do end) de um ou mais usuários específicos para que, dessa forma, se possa operar interceptação juridicamente legítima?

4 – Tendo em vista que a utilização do aplicativo WhatsApp não se limita a apenas uma plataforma  (aparelhos celulares/smartphones), mas permite acesso e utilização também em outros meios, como, por exemplo, computadores (no caso do WhatsApp mediante o WhatsApp Web/Desktop), ainda que a criptografia ponta a ponta (end to end) esteja habilitada, seria possível ‘espelhar” as conversas travadas no aplicativo para outro celular/smartphone ou computador, permitindo que se implementasse ordem judicial de interceptação de um usuário específico”.[2]

Está em debate, na audiência pública, a questão da possibilidade de efetivação de ordem judicial de interceptação da comunicação pelo WhatsApp, para fins de produção de prova em investigações e processos criminais. Primeiro, se possível a interceptação judicial das comunicações na hipótese de ativação da criptografia do aplicativo. Segundo, se possível a interceptação judicial, mediante a desabilitação da criptografia. Terceiro, se possível a interceptação judicial, mediante a cópia das comunicações realizadas pelo aplicativo, por intermédio de outros celulares/smartphones ou computador, de usuário específico. Nesta hipótese, o despacho do Min. Relator  da APDF n. 403, Edson Fachin, com clareza, detalhou que o propósito é saber da possibilidade de interceptação judicial em relação ao conteúdo da comunicação privada de usuário específico do aplicativo.[3] 

Este caso do WhatsApp, sob a jurisdição constitucional do Supremo Tribunal Federal, além de repercutir, em todo o País,  desperta a atenção da comunidade internacional, por envolver questão de cibersegurança.

O tema da segurança nas comunicações privadas é, ainda, reforçado pelo recente fato do ataque cibernético cometido por hackers em mais de 100 (cem) países, causado pelo vírus ransomware, o qual promove o crime virtual de extorsão, mediante o sequestro de dados de computadores, o quais somente seriam liberados após pagamento em moeda virtual (bitcoin).

Segundo noticia à imprensa, a técnica utilizada pelos hackers para a propagação do vírus está baseada em métodos da agência de segurança norte-americana (NSA – National Security Agency), que exploram nas falhas do software Windows, em especialmente a falta de atualização.[4]  O ataque cibernético despertou ação das agências nacionais de segurança para a a realização de investigação internacional sobre o episódio. O Brasil foi afetado pelos ataques cibernéticos.[5] Este fato mostra os graves riscos à segurança do fluxo das comunicações privadas, em âmbito mundial.

O foco do presente artigo é analisar o tema sobre o aplicativo da internet, sob a perspectiva do direito à segurança sobre a inviolabilidade do conteúdo das comunicações/dados pessoais armazenados e transmitidos por aplicativos de internet, diante do interesse público da Justiça brasileira, na investigação policial e instrução penal.[6]  

É importante a análise do tema em perspectiva maior, no contexto de três personagens principais: o estado brasileiro, os mercados (empresas e as tecnologias) e a sociedade (garantia de direitos fundamentais à privacidade, à segurança  e à inviolabilidade das comunicações. ).

O Estado tem o interesse em aplicar à legislação civil e criminal em sua jurisdição, daí a coleta de informações e dados em investigações policiais e processos criminais, mediante ordens judiciais para interceptação das comunicações.  A partir de ordem judicial, devidamente motivada, é possível a interceptação da comunicação, para fins de investigação policial ou instrução em processo penal.[7]

Se ocorrer o acesso indevido ao conteúdo das comunicações privadas, sem a necessária ordem judicial, é declarada nulidade  da investigação ou do processo penal.[8]  No âmbito da legislação penal, cumpre destacar a tipificação dos crimes de invasão de dispositivo informático, bem como da interrupção ou perturbação de serviço informático e telemático”.[9] Portanto, os ataques cibernéticos, com a invasão de computadores e celulares, configura crime.

O Estado tem a responsabilidade de proteger os direitos fundamentais à privacidade e à inviolabilidade da comunicação. Se a criptografia é a melhor para a segurança das comunicações, então cabe ao Estado incentivar as melhores práticas comerciais para favorecer a criptografia. 

Por outro lado, cabe ao Estado brasileiro incentivar  a construção de infraestruturas de redes de internet, tais como: satélites, cabos submarinos intercontinentais, fibras óticas, entre outros.[10] Cumpre ao Estado assegurar a segurança das comunicações dos três poderes da República. Ao Poder Judiciário compete zelar pela segurança das comunicações de dados no âmbito, por exemplo, dos processos eletrônicos. Também, é necessária a garantia das comunicações de dados das forças armadas. Daí a viabilidade da criptografia como técnica de segurança das comunicações, inclusive do próprio setor público.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Em síntese, o Estado, no exercício de sua soberania, há de promover ações de defesa de sua infra-estrutura de redes de comunicação, bem como ações de inteligência, diante dos grave riscos de guerras e ataques cibernéticos. É da sua responsabilidade institucional adotar medidas de prevenção aos riscos de ataques cibernéticos, bem como efetuar a repressão aos crimes no ambiente da internet.     

As empresas provedoras de aplicativo de internet têm interesse em oferecer tecnologias e produtos seguros para os respectivos consumidores. Há a responsabilidade empresarial diante dos consumidores na oferta destes produtos seguros. Em destaque, a vinculação destas empresas provedoras de aplicativos ao regime de direitos fundamentais à privacidade e à inviolabilidade das comunicações previstos na Constituição Federal. Estas empresas de tecnologia demandam parâmetros de regulação setorial, com regras claras e precisas.

Neste sentido, a imposição da obrigação do espelhamento do conteúdos das comunicações (criação de back-door[11]) não pode ser feita unicamente por ordem judicial, eis que necessária lei prévia que autorize este tipo de medida para possibilitar o acesso ao conteúdo das comunicações privadas por autoridades responsáveis por investigações e processos penais. E, ainda que aprovada este tipo de medida legislativa, ela pode ser, evidentemente,  questionada quanto à sua constitucionalidade.[12]

As empresas de tecnologias têm interesse em investimentos em infraestruturas de redes de comunicação.  Os governos e os legisladores deveriam incentivar protocolos de criptografia mais seguros.  A criptografia envolve, ainda, questões de competição internacional de produtos e serviços na economia digital. Países com empresas que ofereçam melhores condições de segurança na rede e em hardwares e softwares são mais competitivos. Quanto maior o nível de segurança oferecido pelas empresas de tecnologia, maior o grau de confiança dos usuários/consumidores.

Por sua vez, quanto menor o nível de segurança, maior desconfiança. É evidente que a sociedade, por seus consumidores e cidadãos, tem interesse na proteção de sua privacidade, bem como na segurança na internet.[13]  A proteção à vida privada, seja das pessoas naturais ou pessoas jurídicas, deve garantida diante de invasões ilegais, seja por parte de autoridades públicas ou terceiros. Deve-se destacar, aqui, o dever estatal de proteção às comunicações pessoais e comunicações empresariais.

Nos EUA, há forte disputa a respeito do estabelecimento de padrões de criptografia. De um lado, as agências de inteligência  (FBI) e segurança interna (NSA) buscam a aprovação pelo governo e legislativo de medidas mais favoráveis à descriptografia dos dados.[14] A propósito, há intensa polêmica sobre as técnicas de vigilância e monitoramento eletrônico adotadas pela agência nacional de segurança em relação à privacidade das pessoas.[15] Assim, há o movimento das empresas de tecnologias e das organizações civids de cidadãos em prol de melhores práticas de criptografia das comunicações privadas.[16]   

 No Brasil,  em destaque, o regime jurídico do provedor de aplicações de internet, diante da legislação brasileira.[17] No Marco Civil da Internet há a previsão dos princípio da  segurança e funcionalidade da rede, conforme medidas técnicas compatíveis com padrões internacionais e estímulo ao uso de boas práticas.[18]

O Decreto n. 8.771/2016, que regulamenta o Marco Civil da Internet,  dispõe que os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes: (...) IV – o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes”.  Como se vê, este decreto expressamente trata da medida de encriptação ou equivalente como mecanismo de proteção à segurança de dados, nas comunicações privadas.

Além disto, o Decreto n. 8.771/2016 dispõe: “Art. 16. As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado  o direito de confidencialidade quanto aos segredos empresariais”.  Em destaque, aqui, a proteção ao direito à confidencialidade dos segredos empresariais das empresas provedoras de serviços de conexão à internet e aplicações.

O tema da interceptação judicial das comunicações, realizadas pelo  WhatsApp, demanda a análise da ponderação do conflito entre os direitos à privacidade, à inviolabilidade da comunicação privada, o direito à proteção e à segurança dos dados pessoais, diante da necessidade da Administração da Justiça, em acessar dados e os conteúdos das  comunicações, para fins de investigação policial ou processo penal.

 Cabe esclarecer a natureza dos dados dos usuários do aplicativo, objeto de requisição judicial, podem ser: i) os dados armazenados em celulares/smartphones ou computadores; ii) o fluxo de dados na comunicação privada; iii) os metadados, tais como: o tempo em que foi escrita a mensagem, o número de telefone ou ID da pessoa que enviou a mensagem, a localização física do emissor e receptor em determinado tempo.

Talvez, a solução possível esteja na distinção entre os dados principais (conteúdos da comunicação privada), em relação aos metadados (informações secundárias). Os dados principais integram o núcleo essencial ao direito à privacidade e à inviolabilidade do direito à comunicação, daí o rigor quanto à quebra do sigilo da comunicação nesta hipótese. De fato, o foco da interceptação judicial é garantir  o acesso ao conteúdo das comunicações privadas às autoridades competentes em investigação e instrução penal.

Diferentemente, poder-se-ia sustentar que os metadados acima mencionados não fazem parte do núcleo essencial do direito ao sigilo das comunicações, daí o regime jurídico mais flexível  em relação aos metadados quanto ao acesso por autoridades públicas. Em verdade, já é possível a requisição por ordem judicial dos metadados,  quanto aos registros de conexão à internet e aplicações, conforme o Marco Civil da Internet. 

No caso específico em análise, destaque-se que a empresa WhatsApp, em razões apresentadas na ADPF n. 403, alega a existência de outras alternativas legais para a coleta de dados e informações para fins de investigação policial e/ou instrução penal, daí sustenta a desproporcionalidade da aplicação da sanção da suspensão do aplicativo.

Na perspectiva econômica, a criptografia oferecida aos usuários integra o modelo de negócios da empresa provedora do aplicativo de internet. O produto (software) é, portanto, protegido pela criptografia.[19]  Ora, o WhatsApp é plataforma de tecnologia baseada na internet. Logo, é da sua responsabilidade oferecer ambiente de segurança para o fluxo das comunicações privadas. Ou seja,  sem a criptografia, existem riscos exponenciais de prejuízos aos consumidores, aos negócios e inclusive à própria segurança nacional.

Exemplificando: o risco de atuação de hackers que podem realizar crimes cibernéticos, criando ameaças ao comércio digital. Também, no âmbito do comércio e da indústria, os sérios riscos de espionagem econômica. Daí a necessidade de medidas técnicas em proteção aos dados empresariais.[20] A razão econômica é o motivo principal para a adoção da criptografia no aplicativo. Sem a segurança na comunicação de dados é evidente a vulnerabilidade dos usuários do aplicativo.

Ora, a adoção da criptografia pela empresa provedora do aplicativo WhatsApp encontra-se sob o âmbito normativo da livre iniciativa, daí sua liberdade empresarial e liberdade contratual em estabelecer a tecnologia em prol da maior segurança ofertada aos respectivos usuários. Em outras palavras, é inerente o modelo de negócios das empresas de tecnologia a oferta da criptografia.

A prática comercial é no sentido de oferecer a melhor segurança para o tráfego de dados dos usuários.  O estado regulador não pode proibir esta decisão empresarial. Ao contrário, deve incentivar inovações tecnológicas e práticas comerciais de segurança à proteção dados pessoais e empresariais.  Assim, eventual restrição legislativa  à criptografia há de ser submetida ao exame de sua constitucionalidade.

No âmbito legal, destaque-se que o Marco Civil da Internet não proíbe a utilização da criptografia das comunicações por aplicativos. Muito pelo contrário, o Marco Civil da Internet protege a liberdade do modelo de negócios, na plataforma da  internet. Esta lei garante o direito à privacidade dos dados dos usuários, bem como a inviolabilidade do fluxo das comunicações privadas e a inviolabilidade das comunicações privadas armazenadas.[21]  A referida lei trata da requisição judicial dos registros de acesso a aplicações de internet, em seus art. 22 e 23.

Assim, o espelhamento das comunicações, realizadas pelo aplicativo, demanda a necessária autorização legislativa. Não é possível ordem judicial de interceptação, sem prévia lei que obrigue ao provedor do aplicativo a realizar o espelhamento do conteúdo das comunicações privadas. Assim, é necessário o devido processo legislativo para criar a obrigação de espelhamento dos conteúdos das comunicações privadas para a empresa provedora do aplicativo, sob pena de ofensa aos princípios da legalidade e segurança jurídica.

Neste aspecto, no atual momento, nem o Supremo Tribunal Federal, nem ordem judicial,  a pretexto de efetivar interceptação judicial, podem impor à empresa provedora do aplicativo a criação do back-door, para acessar ao conteúdo das comunicações privadas criptografadas.      

E, ainda, eventual lei brasileira que proíba a criptografia em aplicativos ou que imponha  a adoção do back-door, certamente,  será alvo de controle de constitucionalidade. Em debate, a possível ofensa aos direito à privacidade e à inviolabilidade das comunicações privadas, ambos protegidos pela Constituição.  Esta eventual restrição legislativa à liberdade do modelo de negócios da empresa de aplicativo teria efeitos negativos que transcenderiam as fronteiras nacionais, atingindo o livre fluxo das comunicações, a economia digital e as infraestruturas da internet, entre outros aspectos.

Em outros países, é comum o problema quanto à criptografia da comunicação de dados pelo aplicativo WhatsApp. Os governos, as autoridades de inteligência e de segurança pressionam a empresas para colaborar com as investigações policiais e criminais.[22] Daí os desafios mundiais quanto à ponderação entre os bens em conflito: de um lado: privacidade e inviolabilidade das comunicações e, de outro lado, os interesses da justiça, em investigações criminais.

A título conclusivo, ao que parece, a criptografia não é em si mesma ameaça à segurança. Ao contrário, esta tecnologia é garantia à segurança da inviolabilidade das  comunicações privadas.

A Constituição Federal garante os direitos à privacidade e à inviolabilidade das comunicações, ressalvada a hipótese de quebra do sigilo, mediante ordem judicial para investigação criminal ou instrução processual penal.[23] A legislação em vigor autoriza a quebra do sigilo da comunicação, por aplicativo de internet, por ordem judicial de interceptação. O problema é saber se a criptografia adotada no aplicativo WhatApp, impede, tecnicamente, a execução da interceptação judicial. Assim, esta é a questão a ser enfrentada na audiência pública no Supremo Tribunal Federal. E, também, verificar se habilitada a criptografia, há a possibilidade  de espelhamento do conteúdo das  comunicações privadas, para entrega dos dados e informações às autoridades competentes.  

Ora, é essencial, para a segurança jurídica na aplicação do direito, conhecer a extensão e os limites das obrigações das empresas provedoras de aplicativos em relação à proteção aos direitos fundamentais à privacidade e à inviolabilidade das comununicações. Destaque-se, ainda,  que da interpretação da atual legislação em vigor não  é possível concluir pela imposição, à empresa provedora do aplicativo, da obrigação de criar back-door que permita o acesso ao conteúdo das comunicações por autoridades encarregadas de investigações criminais ou processos penais.

É  necessária lei prévia que autorize este tipo de carga obrigacional sobre a empresa de aplicativo.  Assim, a mera ordem judicial que imponha este tipo de obrigação, sem o necessário respaldo legal, é ofensiva ao princípio da legalidade.

Ademais, quanto à interpretação da proteção à inviolabilidade das comunicações privadas, é importante a distinção entre os dados principais (conteúdo propriamente dito das comunicações privadas), objeto do núcleo essencial da inviolabilidade das comunicações, em relação aos metadados. Ao que tudo indica, os metadados não se encontram no núcleo essencial da garantia da inviolabilidade das comunicações.  

A propósito, o Marco Civil da Internet contém algumas diretrizes para a requisição judicial dos registros de conexão e acesso à internet e as respectivas aplicações.  Daí porque, em havendo ordem judicial, devidamente fundamentada, contra usuário específico, é legítima  a obtenção dos metadados.

Assim, o Supremo Tribunal Federal tem a possibilidade de fixar, com clareza e exatidão, o núcleo essencial da garantia fundamental à privacidade e à inviolabilidade das comunicações privadas, bem como as obrigações das empresas provedoras de aplicações de internet, em relação à natureza dos dados requisitados judicialmente, para fins de colaboração com a Justiça brasileira, quando devidamente requisitada por ordem judicial.

Sobre o autor
Ericson Meister Scorsim

Advogado e Consultor em Direito Público, com foco no Direito das Comunicações (Telecomunicações e Internet). Sócio Fundador do Escritório Meister Scorsim. Mestre em Direito pelo UFPR. Doutor em Direito pela USP.

Como citar este texto (NBR 6023:2018 ABNT)

SCORSIM, Ericson Meister. A questão da criptografia do WhatsApp: julgamento do caso pelo Supremo Tribunal Federal sob a perspectiva da segurança das comunicações. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 22, n. 5090, 8 jun. 2017. Disponível em: https://jus.com.br/artigos/58324. Acesso em: 18 nov. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!