A polêmica Lei de Segurança Online do Reino Unido agora é lei
A controversa Lei de Segurança Online do Reino Unido agora é oficialmente lei
Jeremy Wright foi o primeiro de cinco ministros do Reino Unido encarregados de promover a histórica legislação do governo britânico sobre a regulação da internet, o Projeto de Lei sobre Segurança Online. O atual governo do Reino Unido gosta de rotular suas iniciativas como “as melhores do mundo”, mas por um breve período em 2019 isso poderia ter sido verdade. Na época, há três primeiros ministros atrás, o projeto de lei – ou pelo menos o livro branco que serviria de base – delineou uma abordagem que reconhecia que as plataformas de mídia social já eram árbitros de fato do que era um discurso aceitável em grande parte da internet, mas que essa era uma responsabilidade que eles não necessariamente queriam e nem sempre eram capazes de assumir. Empresas de tecnologia foram criticadas por coisas que deixaram passar, mas também, por defensores da liberdade de expressão, por coisas que tiraram do ar. “Houve uma espécie de percepção emergente de que a autorregulação não seria viável por muito mais tempo”, diz Wright. “E, portanto, os governos precisavam se envolver.”
O projeto de lei propunha definir uma forma de lidar com o “conteúdo legal, mas prejudicial” – material que não era explicitamente contra a lei, mas que, individualmente ou em conjunto, representava um risco, como desinformação em saúde, postagens que incentivam suicídio ou distúrbios alimentares, ou desinformação política com potencial para prejudicar a democracia ou causar pânico. O projeto de lei teve seus críticos – especialmente aqueles que se preocupavam que desse muito poder às gigantes da tecnologia. Mas ele foi amplamente elogiado como uma tentativa ponderada de lidar com um problema que estava crescendo e evoluindo mais rápido do que a política e a sociedade conseguiam se adaptar. Dos seus 17 anos no parlamento, Wright diz: “Eu não tenho certeza se já vi algo com um consenso político tão amplo quanto essa possível legislação.”
Depois de passar, eventualmente, pelas duas casas do Parlamento do Reino Unido, o projeto de lei recebeu o consentimento real hoje. Ele já não é mais considerado o melhor do mundo – o Regulamento de Serviços Digitais competidor da União Europeia entrou em vigor em agosto. E a Lei de Segurança Online entra em vigor como uma legislação mais abrangente e controversa do que aquela que Wright defendeu. As mais de 200 cláusulas da lei abrangem um amplo espectro de conteúdo ilegal que as plataformas serão obrigadas a abordar e dão às plataformas um “dever de cuidado” sobre o que seus usuários – principalmente crianças – veem online. Alguns dos princípios mais sutis em torno dos danos causados pelo conteúdo legal, mas prejudicial, foram enfraquecidos, e foi adicionado um requisito altamente divisivo para que as plataformas de mensagens analisem as mensagens dos usuários em busca de material ilegal, como abuso sexual de crianças, o que empresas de tecnologia e defensores da privacidade consideram um ataque indevido à criptografia.
Empresas, desde as gigantes da tecnologia até plataformas menores e aplicativos de mensagens, terão que cumprir uma longa lista de novos requisitos, começando pela verificação de idade de seus usuários. (A Wikipédia, o oitavo site mais visitado no Reino Unido, disse que não será capaz de cumprir a regra porque viola os princípios da Fundação Wikimedia sobre coleta de dados de seus usuários.) As plataformas terão que impedir que os usuários mais jovens vejam conteúdo inadequado para sua idade, como pornografia, cyberbullying e assédio; divulgar avaliações de riscos sobre perigos potenciais para crianças em seus serviços; e fornecer aos pais vias fáceis para relatar problemas. Agora será ilegal enviar ameaças de violência, incluindo estupro, online, assim como apoiar ou incentivar autolesão online ou transmitir pornografia fake, e as empresas terão que agir rapidamente para removê-las de suas plataformas, juntamente com anúncios de golpes.
Em um comunicado, a Secretária de Tecnologia do Reino Unido, Michelle Donelan, disse: “O Projeto de Lei protege a liberdade de expressão, capacita os adultos e garantirá que as plataformas removam conteúdo ilegal. No entanto, o coração deste projeto de lei é a proteção das crianças. Gostaria de agradecer aos ativistas, parlamentares, sobreviventes de abuso e organizações de caridade que trabalharam incansavelmente, não apenas para viabilizar esta lei, mas também para garantir que tornará o Reino Unido o lugar mais seguro do mundo para estar online.
- Funcionários da Apple Store temem que a gigante da tecnologia estej...
- Streamers do TikTok estão organizando Israel vs. Palestina partidas...
- Por que ler livros quando você pode usar chatbots para conversar co...
A aplicação da lei ficará a cargo do regulador de telecomunicações do Reino Unido, Ofcom, que anunciou em junho que iniciará consultas com a indústria após o consentimento real ser concedido. É improvável que a aplicação comece imediatamente, mas a lei se aplicará a qualquer plataforma com um número significativo de usuários no Reino Unido. Empresas que não cumprirem as novas regras enfrentarão multas de até £18 milhões (US$ 21,9 milhões) ou 10% de sua receita anual, o que for maior.
Parte da controvérsia em torno do ato diz respeito ao que não está nele. O longo processo legislativo significa que seu desenvolvimento ocorreu durante a pandemia de Covid-19, permitindo que os legisladores tivessem uma visão atual do impacto social da desinformação. A disseminação de mensagens antivacinação e contra o lockdown se tornou um obstáculo para iniciativas de saúde pública. Após o pior da pandemia ter passado, essas mesmas mentiras alimentaram outras teorias da conspiração que continuam a perturbar a sociedade. O documento original que serviu de base para o projeto de lei incluía propostas para obrigar as plataformas a combater esse tipo de conteúdo, que individualmente pode não ser ilegal, mas coletivamente cria perigos. Isso não está na legislação final, embora o ato crie uma nova ofensa de “comunicação falsa”, criminalizando a intenção deliberada de causar dano ao comunicar algo que o remetente sabe ser falso.
“Uma das coisas mais importantes era abordar os danos que ocorrem em grande escala. E como está tão focado em partes individuais do conteúdo, isso foi perdido”, diz Ellen Judson, chefe do centro de pesquisas digitais do think tank Demos. O ato inclui regras rigorosas que obrigam as plataformas a agirem rapidamente para remover qualquer postagem ilegal, como conteúdo terrorista ou abuso sexual infantil, mas não aborda as campanhas de desinformação compostas por um fluxo constante de conteúdo enganoso, não compreendendo que “quando isso se torna viral e se espalha, então o dano pode ocorrer de forma cumulativa”.
Wright diz que a exclusão da desinformação e da informação errônea do projeto de lei se deve em parte à confusão entre as atribuições de diferentes departamentos. O Departamento de Cultura, Mídia e Esporte “foi informado de que o Gabinete do Governo cuidaria de tudo isso. ‘Não se preocupem, será feito em outro lugar, algo chamado agenda Defending Democracy'”, diz ele. “E então, posteriormente, isso não aconteceu de fato. Então, acho que ainda há uma lacuna lá.”
No âmbito do ato, espera-se que as grandes plataformas policiem conteúdos potencialmente prejudiciais, mas não ilegais, aplicando seus próprios padrões de forma mais consistente do que fazem atualmente. Isso tem sido criticado pelos defensores da liberdade de expressão, que consideram que as empresas privadas estão ganhando controle sobre o que é aceitável no discurso online. No entanto, alguns especialistas em desinformação afirmam que isso é uma forma de evitar a responsabilidade das grandes empresas de tecnologia na disseminação de falsidades. Porém, especialistas legais afirmam que o cumprimento da lei exigirá que as plataformas sejam mais transparentes e proativas. “Elas terão que estabelecer todos esses processos de como suas decisões serão tomadas, ou correm o risco de serem vistas como plataformas que controlam todos os tipos de liberdade de expressão”, diz Emma Wright, líder de tecnologia do escritório de advocacia Harbottle & Lewis. Isso provavelmente se tornará um fardo significativo. “É o novo GDPR”, diz ela.
Porém, a cláusula mais divisiva entre as mais de 300 páginas do Online Safety Act é a Seção 122, que foi amplamente interpretada como obrigando as empresas a verificar as mensagens dos usuários para garantir que não estejam transmitindo material ilegal. Isso seria incrivelmente difícil – talvez até impossível – de fazer sem violar a criptografia de ponta a ponta em plataformas como WhatsApp e Signal. A criptografia de ponta a ponta significa que o remetente e o destinatário de uma mensagem podem ver o seu conteúdo, mas o proprietário da plataforma em que é enviada não pode. A única maneira de cumprir a lei, segundo especialistas, seria colocar um software de verificação chamado client-side scanning nos dispositivos dos usuários para examinar as mensagens antes de serem enviadas, o que tornaria a criptografia praticamente inútil. O governo afirmou durante o desenvolvimento do projeto de lei que as empresas poderiam encontrar uma solução técnica para verificar as mensagens sem comprometer a criptografia; no entanto, empresas e especialistas argumentaram que essa tecnologia não existe, e talvez nunca exista.
“Isso dá à Ofcom, como reguladora, a capacidade de nos obrigar a colocar monitoramento de conteúdo de terceiros em nossos produtos, que verifica unilateralmente tudo que passa pelos aplicativos”, disse Matthew Hodgson, CEO da empresa de mensagens criptografadas Element, à ENBLE antes da aprovação do projeto de lei. “Isso mina a criptografia e cria um mecanismo onde qualquer tipo de ator mal-intencionado poderia comprometer o sistema de escaneamento para roubar os dados circulando por aí”.
Empresas cujos produtos dependem de criptografia de ponta a ponta ameaçaram deixar o país, incluindo o Signal. O Meta disse que poderia remover o WhatsApp do Reino Unido se o projeto de lei fosse aprovado. Essa linha tênue já passou e ambos os serviços ainda estão disponíveis – embora depois de um recuo de última hora por parte do governo, afirmando que não forçaria as plataformas a adotarem uma tecnologia inexistente para escanear as mensagens dos usuários, o que foi visto por alguns como uma mudança de posição.
No entanto, a cláusula continua no ato, o que preocupa ativistas de privacidade e liberdade de expressão, que veem isso como parte de um espectro de ameaças contra a criptografia. Se a Lei de Segurança Online significa que as empresas têm que remover a criptografia ou contorná-la usando varreduras do lado do cliente, “isso então potencialmente abre [dados] para serem coletados no amplo aparato de vigilância”, de acordo com Nik Williams, oficial de políticas e campanhas do grupo de campanha Index on Censorship.
A Lei de Segurança Online tem preocupantes sobreposições com outra legislação, a Lei de Poderes Investigativos, que permite ao governo compelir plataformas a remover a criptografia. Williams diz que a sobreposição entre as duas peças de legislação cria “um gateway de vigilância entre o OSB e o IPA, o que pode fornecer aos serviços de segurança, como o MI5, MI6 e GCHQ, acesso a dados aos quais eles anteriormente não tinham acesso… Eu diria que é provavelmente uma expansão sem precedentes dos poderes de vigilância.”
No dia seguinte à aprovação da Lei de Segurança Online na Câmara dos Lordes, o Ministério do Interior do Reino Unido lançou uma nova campanha contra mensagens criptografadas, especificamente visando o Facebook Messenger.
O ex-ministro Jeremy Wright diz que a questão sobre criptografia “francamente, não está resolvida. Acho que o governo tem evitado dar uma visão conclusiva sobre o que isso significa para a criptografia.” No entanto, ele diz que a resposta provavelmente não será tão absoluta quanto os oponentes do projeto de lei estão retratando. A criptografia não será proibida, diz ele, mas as plataformas terão que explicar como suas políticas em relação a ela equilibram a segurança com o direito à privacidade de seus usuários. “Se você pode cumprir esses deveres [de segurança] usando criptografia ou com criptografia como parte do serviço, está tudo bem”, diz ele. Caso contrário, “você tem um problema… não pode ser verdade que uma plataforma tem o direito de dizer: ‘Bem, eu uso criptografia, então isso é um salvo-conduto para mim em relação aos deveres de segurança.'”
