Entre investigações e vulnerabilidades: riscos e regulação do hacking governamental no Brasil

O workshop pretende amadurecer discussão no Brasil, ainda incipiente, sobre a regulação legal e administrativa acerca da contratação e uso efetivo de ferramentas associadas ao “hacking governamental”, aqui incluídas tecnologias de extração massiva de dados de dispositivos apreendidos, bem como a vigilância remota mediante spywares. Para tal, irá catalisar um “mosaico multissetorial” sobre o tema, uma vez que agentes econômicos de fabricação e fornecimento da tecnologia, associados às demandas de agências investigativas, como a Polícia Federal e o MPF, pulverizam essas soluções no aparato técnico policial no Brasil. A problemática escala também para um cenário de insegurança cibernética provocada por um “mercado de vulnerabilidades” incentivado globalmente, pondo em risco não somente a resiliência de sistemas de informação nacionais, como direitos fundamentais de usuários, como a proteção de dados pessoais, a liberdade de expressão ou a presunção de inocência. Nesse sentido, marcaram os debates em direitos humanos de 2021 revelações da ONG Forbidden Stories sobre a utilização do Pegasus em mais de cinquenta países, atingindo mais de mil jornalistas, ativistas e políticos - spyware que chegou a ser negociado em mais de uma oportunidade no Brasil. Adicionalmente, é seguro dizer que ferramentas como as da Cellebrite fazem parte das técnicas disponíveis em departamentos de investigação de todos os Estados brasileiros, garantindo superações à criptografia forte e acesso irrestrito a dados armazenados. Por fim, o avanço dessas técnicas de investigação se opõem, fundamentalmente, à cibersegurança. Sem bases legais no Código de Processo Penal e no regime brasileiro de proteção de dados pessoais, abre-se margem a riscos de uso arbitrário e politicamente motivados. O debate, portanto, propõe explorar o contexto sociopolítico e tecnológico em que se inserem e, assim, apontar caminhos e possibilidades regulatórias

O objeto de discussão se amplia a, pelo menos, duas dimensões geopolíticas: o mercado internacional de ferramentas forenses e de vigilância que encontra representações em diversas localidades e jurisdições, tendo por consumidores organizações governamentais variadas, democráticas e autoritárias; e os desafios dessas operações em responderem a padrões internacionais de direitos humanos, incluindo a proteção à privacidade, à segurança e ao devido processo legal. Não coincidentemente, são fatores que se confundem com questões críticas e transversais à governança global da Internet, como a confiança e a resiliência transfronteiriças ao ecossistema conectado. Ao passo que o avanço de protocolos de segurança, como a criptografia forte, desenvolvem-se a partir da comunidade tecnológica e são efetivamente implementados por padrão pelo mercado de fabricação de aplicações e dispositivos globalmente, um movimento de contramão é identificado por um nicho que fomenta a exploração de vulnerabilidades nesses mesmos sistemas. Esse fenômeno se insere em um contexto de amplo debate sobre riscos sobre a vigilância operada por setores governamentais, muitas vezes à revelia de ordens judiciais, justificativa ou mesmo da identificação dos agentes. A própria existência de spywares e ferramentas de extração massiva de dados de dispositivos pessoais facilita sua inserção em mercados clandestinos, gerando um cenário de insegurança distribuída e operado por atores maliciosos, sobretudo em países cuja regulação sobre a contratação e uso de ferramentas de hacking seja insuficiente, como no Brasil. O debate é emergente e atual, colocando-se como ponto chave para uma discussão multissetorial com alguns dos principais atores da área em atividade no Brasil. A dinâmica sobre a fabricação, contratação e uso dessas ferramentas, portanto, é parte das agendas de cibersegurança e proteção de dados transversais à governança global da Internet, tendo como ênfase, para o debate, o papel do Brasil.

A proposta do workshop é de mesa redonda, facilitando a troca entre os participantes. O moderador terá 5 minutos iniciais para apresentação da proposta da mesa, contextualização do tema, apresentação dos(as) painelistas e instruções ao público. Contaremos com uma pergunta norteadora específica para cada stakeholder e 10 minutos para cada apresentação. Em seguida, teremos uma rodada de troca de comentários do(as) painelistas sobre as demais apresentações, contando com 5 minutos para cada, onde a moderação, se necessário, poderá facilitar o diálogo fazendo provocações. O formato facilitará a troca franca de impressões. Em seguida, a moderação fará uma primeira rodada de interações com o público, abrindo o microfone no local e coletando comentários da transmissão online. Cada painelista terá 2 minutos para respostas. Caso houver tempo, a moderação irá coletar mais um comentário no local e um dos espectadores online, abrindo nova rodada de respostas.

A organização proponente irá mobilizar equipe de comunicação para fazer cobertura da sessão em tempo real nas redes sociais. Assim fazendo, também irá constantemente convocar o público remoto para interagir tanto na transmissão online como através de posts com hashtags do FIB 12 e das criadas especificamente para a sessão. Ao longo da sessão, a equipe irá lançar enquetes online, como auxílio da moderação e da relatoria, tematizando pontos em disputa para engajamento da audiência. O resultado das enquetes também irá constar no relatório final. Paralelamente, a moderação irá convocar o público presencial para, além da intervenção na última parte da sessão, deixar comentários na transmissão online, listando impressões que poderão ser lidas pela moderação entre as falas dos(as) painelistas. Durante a sessão, a moderação irá reforçar a possibilidade de interação do público remoto junto à transmissão online. Ao fim, será instigado o espaço para perguntas da audiência presencial e remota.

Iniciaremos um diálogo entre diferentes stakeholders sobre o estado do uso de ferramentas de hacking operadas por forças de investigação. A partir de um retrato inicial, avançaremos sobre possíveis potencialidades à segurança pública, bem como sobre os riscos à segurança e aos direitos derivados de usos que operam à revelia de garantias que assegurem a proporcionalidade, a necessidade e legalidade dessas medidas. Espera-se, com isso, oferecer insumos à políticas públicas que estão na pauta do dia do legislativo brasileiro, a exemplo da Reforma do Código de Processo Penal e da LGPD Penal, assim como avançar com possíveis reformas administrativas que deverão ser observadas por forças policiais na adoção dessas ferramentas. O debate será referência tanto a fabricantes e fornecedores, em termos de segurança jurídica, às forças de segurança pública, no que se refere à efetividade de investigações, quanto à sociedade civil, no advocacy pela salvaguarda de direitos humanos no Brasil.