Nova lei permite que EUA acessem dados de usuários que estejam fora do país

Márcio Padrão

Do UOL, em São Paulo

  • Divulgação/Google

    Data center do Google em Douglas County, Geórgia, perto de Atlanta

    Data center do Google em Douglas County, Geórgia, perto de Atlanta

Em vigor desde o último dia 23 de março, uma nova lei americana vem causando arrepios em defensores da privacidade na internet por abrir uma possibilidade de permitir que o governo americano tenha acesso aos dados de qualquer pessoa, independentemente de sua nacionalidade. Basta essas informações estarem guardadas por empresas americanas de comunicação, como Facebook, Google e Microsoft. 

Apelidada de Cloud Act (sigla para Clarifying Lawful Overseas Use of Data Act, ou Esclarecendo o Uso Legal de Dados no Exterior, em tradução livre), a legislação permite abrir o sigilo de servidores de empresas americanas hospedados fora dos EUA. A promessa é de que a lei facilitará a obtenção de dados digitais como provas em processos da Justiça americana.

Por outro lado, os críticos argumentam que ela abre precedentes para, dependendo do caso, ferir unilateralmente a soberania de outros países e a privacidade de estrangeiros. Por se tratar de uma lei nova, todos aguardam as consequências práticas dessa lei.

VEJA TAMBÉM:

A Promessa

Antes do Cloud Act, pedidos do governo americano por dados hospedados fora do país enfrentavam um processo muito mais burocrático, que poderia levar anos para serem atendidos. É a mesma coisa que acontece, por exemplo, quando a Justiça brasileira tenta obter dados de perfis do Facebook hospedados nos EUA suspeitos de atividade criminosa no Brasil.

Ainda no exemplo Brasil e EUA, para obter dados que estão em servidores americanos, a Justiça do nosso país precisa submeter um processo de quebra de sigilo de dados a algumas instâncias do Judiciário de lá (isso fora as etapas realizadas aqui), que então avalia se irá acionar a empresa guardiã das informações. O mesmo acontece quando os EUA precisam pedir dados que estão armazenados em outros países.

O Cloud Act agiliza para a Justiça americana o andamento desses processos, pois permite que ela acione diretamente as empresas de tecnologia para obter os dados por meio de mandado ou intimação, eliminando da equação a participação do Judiciário de outros países. 

Assim, a Justiça americana vê com bons olhos a legislação, pois muitos dados relevantes para ela estão guardados fora dos EUA - ela obriga as empresas de tecnologia a entregar ao governo dos EUA até conversas de usuários armazenados nos servidores. Mas esse é apenas um lado da história.

Divulgação/Facebook
Equipamento de data center do Facebook

Perigo

Porém, os mecanismos que podem agilizar processos também podem ser usados para violar a privacidade de estrangeiros. Esse é o ponto de ONGs importantes como a EFF (Electronic Frontier Foundation), ACLU (União Americana de Liberdades Civis), a Anistia Internacional e o Open Technology Institute

 A EFF publicou um artigo alertando sobre os possíveis riscos do Cloud Act. Um dos trechos diz a polícia dos EUA poderia ter acesso a dados de qualquer pessoa no mundo, independentemente de onde isso está hospedado. Imagine, por exemplo, que o governo dos EUA exija do Facebook dados de cidadãos brasileiros para monitorar e evitar a entrada de imigrantes ilegais no país

Outro trecho cita que a lei permite que a Justiça de outros países, com leis de privacidade mais fracas, acesse dados hospedados nos EUA. Pense em um país como Arábia Saudita, que criminaliza a homossexualidade e que mantém boas relações com os EUA. Teoricamente, a Justiça de lá poderia pedir dados de seus cidadãos no Google e no Facebook para identificar homossexuais

A ACLU também afirma que o Cloud Act não leva em conta que os direitos humanos em determinados países podem deteriorar a partir do momento que os dados são compartilhados. "Os direitos humanos não são estáticos", diz a entidade. 

Antes da inclusão da lei o senador republicano Paul Rand chegou a escrever no Twitter: "O Congresso deveria rejeitar o Cloud Act porque ele falha ao proteger os direitos humanos ou a privacidade dos americanos... Ele abandona seu papel constitucional e dá muito poder ao Procurador-Geral, ao Secretário de Estado, ao Presidente e aos governos estrangeiros".

Alguns pontos da lei

A lei é clara sobre a preservação e divulgação obrigatória de comunicações e registros: "Um fornecedor de serviço de comunicação eletrônica [...] deverá preservar, fazer backup ou divulgar o conteúdo de uma comunicação eletrônica ou qualquer registro ou outra informação pertencente a um cliente ou assinante na posse desse provedor [...] independentemente de estar localizada dentro ou fora dos Estados Unidos"

Países como o Brasil se encaixam? Segundo a lei, sim.

O trecho mais importante para estrangeiros é o seguinte: um provedor de comunicação eletrônica [...] pode entrar com uma ação para modificar ou revogar o processo [...] se o provedor acredita que o cliente ou assinante não é um cidadão americano e não reside nos EUA. 

Ou seja, o dispositivo de proteção a estrangeiros está na mão das empresas americanas. Elas é que decidirão quem terá seus dados compartilhados com o governo dos EUA. 

VEJA TAMBÉM:

No aguardo

Para especialistas, o tema ainda é delicado e incerto. Rony Vainzof, coordenador de Direito digital da Escola Paulista de Direito, crê que a Cloud Act não é totalitária pois permitiria que as partes da ação --usuários, empresas ou as Justiças de cada país-- contestem os pedidos de quebra de sigilo.

"Acho que esse tipo de legislação é importante. Só precisa ver se são fortes o suficiente para evitar eventuais quebras ilegítimas de privacidade no país onde os dados estão localizados", diz.

Por enquanto, as fontes não creem que abusos do governo americano, como vigilância online massiva ou quebra de sigilo de estrangeiros inocentes.

"Não é uma lei fácil de interpretar, especialmente em conciliar com legislações internacionais. Mas o Cloud Act não incrementa instrumentos de obtenção de dados. Os instrumentos atuais para investigações nos EUA, como o subpoena [convocação de testemunhas] e o mandado de busca continuam valendo", diz Ademir Antonio Pereira Junior, especializado em regulação e direito digital.

Estamos em um cenário global de Estados nação agindo e atacando civis e promovendo o terrorismo. Há as dimensões do direito da privacidade contra segurança pública. O que não é razoável é a lei permitir o acesso a todas as pessoas na base de dados [do servidor],

Roberto Gallo, coordenador do Comitê de Segurança Cibernética da Abes (Associação Brasileira de Empresas de Software).

A reportagem procurou o Consulado dos Estados Unidos para comentar o assunto, mas eles não responderam até a publicação. O Ministério das Relações Exteriores brasileiro disse que o tema será debatido pelo Ministério da Ciência, que procurado, também não respondeu.

O que dizem as empresas

Como parte interessada no assunto, grandes empresas, como Microsoft, Apple, Facebook, Google e Oath (controladora do Yahoo!), chamaram a Cloud Act, em uma carta conjunta, de "progresso notável para proteger os direitos dos consumidores e reduziria os conflitos de lei".

O motivo: muitas delas têm servidores fora dos EUA e ações de pedidos de dados por governos eram uma zona cinza para elas. O temor era de atender a Justiça de um país e violar a de outro ao mesmo tempo

O Google, por exemplo, tem servidores na Finlândia, Bélgica, Holanda, Taiwan, Cingapura e Irlanda. Só neste último país, há servidores de Google, Facebook e Microsoft. Processos envolvendo quebras de dados em servidores de outros países colocavam essas empresas em uma corda bamba: se não abriam o sigilo, complicavam-se com os EUA; se abriam, o problema seria com o país estrangeiro. Agora, uma lei dos EUA claramente as obriga a entegar os dados.

Divulgação/Microsoft
Data center da Microsoft em Dublin, Irlanda

A Microsoft foi uma espécie de "musa inspiradora" do Cloud Act. Desde 2013, a "casa do Windows" contestava um mandado do governo americano para entregar os dados do email de um cidadão americano, suspeito de traficar drogas, que estavam armazenados na Irlanda.

O mandado foi emitido evocando uma lei mais antiga, a SCA, a Lei de Comunicações Armazenadas americana, de 1986. A Microsoft alegava que, por ser "pré-internet", essa lei não teria respaldo para obrigar empresas a entregar dados guardados no exterior. O governo irlandês entrou na briga e contestou a demanda americana, acusando de violação da lei de proteção de dados da União Europeia e do próprio país.

A Cloud Act alterou a SCA e por isso o processo contra a Microsoft, pendente na Suprema Corte, retornou ao Segundo Circuito --uma instância inferior de julgamento. Isso foi uma vitória para a empresa, que agora poderá defender-se do processo sob uma lei mais clara e atualizada

Em um post, Brad Smith, responsável pelo departamento jurídico da Microsoft, também falou sobre os temores de invasão de privacidade: "As companhias americanas são líderes em computação em nuvem. Essa liderança é baseada em confiança. Se os clientes em todo o mundo acreditam que o governo americano tem o poder de unilateralmente acessar os servidores operados por companhias americanas, sem notificar os governos, eles não confiarão nessa tecnologia". 

Tecnologia usa "o pensamento" para controlar os nossos objetos

Receba notícias pelo Facebook Messenger

Quer receber as principais notícias do dia de graça pelo Facebook Messenger? Clique aqui e siga as instruções.

Veja também

UOL Cursos Online

Todos os cursos