UMA VIDA, UMA FICHA: Numa qualquer base de dados, numa qualquer ficha real ou potencial, a vida de João Silva cabe toda, em particular sexo e dinheiro, os grandes fautores da curiosidade alheia, as marcas da fragilidade, as Grandes Mentiras. O Estado sabe que todas estas coisas podem vir a ser úteis.
Um dia.
João Silva está longe de o saber.
Data Retention
David Davis [shadow Home Secretary]: So, Chancellor, will you return the freedoms we lost under Blair? Liberty and security are not tradable commodities. We cannot defend our freedoms by sacrificing them.
Umas lembranças, publicadas no suplemento Computadores do Público em 2002.
Esta é de Junho de 2002:
Privacidade europeia recua perante insegurança
Suspeitos até prova em contrário
Pedro Fonseca
A vigilância dos meios telemáticos na Europa vai ser mais apertada. Seguindo os passos dos Estados Unidos e com o apoio da polícia europeia Europol e do Reino Unido, o Parlamento Europeu adoptou no final de Maio um projecto de revisão da directiva europeia de 1997 relativa ao tratamento dos dados pessoais e protecção da vida privada no sector das comunicações (neste caso, generalizada para todas as comunicações electrónicas). A directiva deve entrar em vigor até 2005 e prevê o registo dos dados pessoais por um período limitado mas não especificado.
A revisão da directiva segue de perto algumas propostas da Europol, como se deduz da leitura de um documento confidencial da polícia europeia divulgado no início do mês pelo eurodeputado italiano Marco Cappato, opositor da proposta europeia para a retenção de dados nas comunicações electrónicas que, segundo Cappato, é contrária à posição do Comité Europeu de Liberdades e Direitos.
A polícia europeia incorporou na sua agenda várias recomendações para vigilância electrónica, nomeadamente pela obrigatoriedade dos fornecedores de acesso à Internet registarem e manterem indefinidamente dados pessoais na utilização do seu serviço e dos operadores de redes telefónicas fixas e móveis serem igualmente obrigados a manter um registo detalhado das acções dos seus clientes por um período indeterminado.
O documento, apresentado a 11 de Abril numa reunião da Europol sob a denominação de “Expert Meeting on Cyber Crime: Data Retention”, refere ainda um questionário enviado aos Estados membros a 3 de Dezembro de 2001 sobre uma “lista de dados mínimos e opcionais a serem registados por fornecedores de acesso à Internet e operadores telefónicos”. A lista dos dados a registar pelos ISPs inclui o nome e “password” do utilizador, endereço IP, número de bytes transmitidos e recebidos, números de cartão de crédito ou de contas bancárias usadas para pagamento do serviço, identificação do emissor e receptor das mensagens de “email” e dados horários, informação sobre “download” ou “upload” de ficheiros, endereços Web visitados e ainda informação sobre o acesso a “newsgroups” e canais de IRC.
Relativamente aos operadores telefónicos, discrimina para registo os números telefónicos do emissor e do receptor, a sua identificação, endereços de facturação e dados bancários associados, data e hora da chamada telefónica, abrangendo igualmente as mensagens SMS, bem como as coordenadas geográficas dos aparelhos móveis, registadas através das antenas ou satélites que efectuem a comunicação. Embora actualmente os dados de localização deste tipo sejam imprecisos, a proposta define os dados de localização como a latitude, longitude e altitude do terminal do utilizador, a direcção do percurso, o nível de fiabilidade da informação sobre a localização ou a identificação da célula da rede.
O documento confirmou os receios de vários grupos internacionais de defesa das liberdades cívicas opositores à adopção daquela proposta pelo Parlamento Europeu. Basicamente, esta obriga os operadores de redes de telecomunicações a registar e conservar todos os passos electrónicos de um utilizador por um período superior aos três meses actuais consagrados para efeitos de facturação, após o que se deve proceder à sua eliminação.
O futuro prazo de manutenção do registo caberá a cada país mas a Alemanha, Bélgica, França, Holanda ou o Reino Unido já aprovaram medidas no sentido de um período de 12 meses.
Curiosamente, a proposta europeia de alteração foi inserida numa directiva que pretende proteger os utilizadores da Internet do “spam” (correio electrónico não solicitado) e dos “cookies” (informação guardada no computador sobre o comportamento de navegação dos utilizadores). Outra alteração introduz a possibilidade do tratamento suplementar dos dados pessoais para o fornecimento de serviços de valor acrescentado, embora apenas com o consentimento do utilizador, e simplificação da opção de os dados fazerem parte de listas públicas de todas as comunicações electrónicas, sem que o utilizador tenha de pagar por não figurar nelas, bem como de ser informado sobre as possíveis utilizações dessas listas.
Na prática, a directiva permite uma enorme colecção de dados sobre um grande grupo de pessoas, que pode nunca vir a cometer qualquer crime, quando o intuito é a vigilância de uns poucos. Pelo que “nenhum Estado tem o direito de guardar dados íntimos como estes sobre os seus cidadãos sem provas - legitimado apenas pelo argumento da facilidade de aplicação da lei”, argumenta-se numa carta aberta enviada aos governos e parlamentos da União Europeia assinada por mais de 9200 pessoas, das quais apenas oito são portuguesas (ver em www.stop1984.com/index2.php?lang=en&text=letter.txt).
Para outros, no entanto, “o princípio de proteger os dados pessoais não se deve interpôr na luta contra o crime e o terrorismo”, como afirmava uma semana depois do 11 de Setembro o ministro do Interior alemão Otto Schily. Mas “isto viola um princípio fundamental da privacidade que é o de dados recolhidos com um fim não serem usados para outro”, salienta John Wadham, director da organização Liberty (www.liberty-human-rights.org.uk).
Quem já se recusou a registar o emissor, o receptor e o assunto das mensagens de correio electrónico foi o fornecedor francês de acesso Altern.org, após o recente apelo da associação Repórteres Sem Fronteiras. Esta incentivou a recusa ao fornecimento desses dados, excepto em caso de mandato judicial. Robert Ménard, secretário-geral da organização, alertou que a adopção da directiva coloca em causa o segredo profissional sobre as fontes dos jornalistas e, por essa razão, propõe a utilização de um software de criptografia como o PGP para garantir a confidencialidade do correio electrónico.
Outras duas questões sensíveis estão relacionadas com o custo e o abuso deste tipo de recolha de dados pessoais. Por um lado, uma situação semelhante está a ocorrer actualmente nos Estados Unidos, para levar os operadores telefónicos e de acesso à Internet a garantirem o acesso do FBI a dados pessoais e às conversações móveis, ao abrigo do “Communications Assistance for Law Enforcement Act” (CALEA) aprovado em 1994. Essas empresas têm de adquirir novos equipamentos e antecipam que esse investimento deverá reflectir-se em aumentos nas tarifas cobradas aos utilizadores.
Na Europa, “é típico que uma mudança tão radical no controlo sobre informação privada seja trabalhada em segredo”, afirmava recentemente Ian Brown, director da Foundation for Information Policy Research, ao diário inglês The Observer. “Parece ter sido a Inglaterra quem pressionou os outros Estados membros para adoptarem este tipo de legislação. Em 99 por cento dos casos ela será usada de forma apropriada mas o que acontecerá com o outro um por cento? Não existe um escrutínio suficiente sobre o que se está a passar”, realça Brown.
E o que se está a passar, nomeadamente em Portugal, não é de molde a sossegar almas inquietas. No final de Maio, o jornal “online” Portugal Digital revelou que a operadora Optimus forneceu à Polícia Judiciária, sem mandato judicial, uma lista de chamadas telefónicas, com horas e zona geográfica, de um seu cliente. Para a operadora bastou um “pedido de listagem” da PJ. Agora, Optimus e Estado podem vir a ser processados pelo referido cliente.
Esta é de Setembro do mesmo 2002:
11 de Setembro acelerou o fim da privacidade e direitos cívicos
Danos colaterais
Os eventos de 11 de Setembro de 2001 permitiram aos governos, democráticos ou não, aproveitar a luta contra o terrorismo para aumentar a vigilância na Internet e minar as liberdades cívicas, segundo dois estudos divulgados na semana passada. “Um ano após os trágicos eventos em Nova Iorque e Washington”, afirma a organização Reporters Sans Frontières (RSF), “a Internet pode ser incluída na lista dos ‘danos colaterais’”.
Segundo o seu estudo “Internet em Liberdade Vigiada”, países como a China, a Tunísia ou o Vietname aproveitaram “com oportunismo o contexto da campanha antiterrorista internacional para reforçarem os seus dispositivos policiais e legislativos”. No entanto, também os Estados Unidos, o Canadá, a Índia, os países europeus, o Parlamento Europeu, o Conselho da Europa ou o G8 “adoptaram leis, medidas e acções que são estruturadas para colocar a Internet sob tutela dos serviços de segurança”.
A organização sustenta que o registo de informação sobre sítios Web visitados e sobre as mensagens de correio electrónico pode transformar os fornecedores de acesso à Internet (ISPs) e outros operadores de telecomunicações em “potenciais auxiliares da polícia”. Por outro lado, “este abuso sem precedentes significa que todos os cidadãos estão teoricamente sob suspeita”.
Robert Ménard, secretário-geral da RSF, questiona-se sobre o que sucederia se leis semelhantes fossem aplicadas ao correio postal. Os cidadãos “sentir-se-iam ultrajados por estas restrições à sua liberdade. No entanto, é exactamente este tipo de medidas que foi ou está a ser adoptado relativamente à Internet”.
Em termos de exemplos, a RSF refere a tecnologia “Magic Lantern”, desenvolvida pelo FBI nos Estados Unidos (o país com mais referências no relatório) e que permite a instalação discreta pela Internet de software capaz de registar as batidas num teclado do computador, ficando-se assim a conhecer as “passwords” dos utilizadores.
Na Alemanha, foram tomadas medidas que acabam com a separação entre os serviços da polícia e de informação, pelo que estes podem aceder aos ficheiros policiais.
Na Dinamarca, os serviços secretos e a polícia podem consultar os dados pessoais armazenados pelos ISPs sem autorização judicial.
Em Inglaterra, o ministério do Interior tem o direito de verificar as transacções financeiras electrónicas ou de controlo do correio electrónico privado, em muitos casos sem necessidade de permissão judicial.
Muitas das leis que permitem estas acções foram aprovadas à pressa no final de 2001, tal como uma italiana que permite aos agentes dos serviços secretos civis e militares, “com total impunidade, cometer crimes no decurso das suas missões, excepto matar ou ferir pessoas”, mas desde o roubo às escutas telefónicas e electrónicas “selvagens”, muito é permitido.
Quanto à União Europeia, tradicional opositora de formas de vigilância electrónica até Setembro do ano passado, o relatório lembra a “ingerência” norte-americana para forçar a retenção dos dados das ligações electrónicas pelos operadores de telecomunicações no âmbito de uma directiva então a ser revista no Parlamento Europeu, o que acabou por suceder.
Mais extenso, um estudo conjunto do Electronic Privacy Information Center (EPIC) e da Privacy International igualmente divulgado na semana passada, é o primeiro a documentar extensivamente as modificações na privacidade e nos direitos cívicos e nas tendências de vigilância desde Setembro de 2001.
O estudo “Privacidade e Direitos Humanos 2002” analisa as novas medidas antiterrorismo e de segurança e identifica quatro tendências principais: a crescente vigilância das comunicações e de poderes de busca e captura, o enfraquecimento dos regimes de protecção de dados, a crescente partilha de dados (intergovernamental mas também com e entre empresas) e de identificação de indivíduos, nomeadamente dos viajantes. “Nenhuma destas tendências é necessariamente nova, a novidade é a velocidade com que estas políticas foram aceites e, em muitos casos, se tornaram lei”, afirma-se no documento.
O trabalho argumenta igualmente que muitas das propostas entretanto aprovadas não eram novas na altura do 11 de Setembro. “As agências de segurança pediam uma crescente autoridade para a vigilância das comunicações. Associações da indústria do entretenimento encorajavam os governos nacionais para criarem novas categorias de crime informático que incluísse a violação do direito de autor. Vendedores de sistemas de bases de dados informáticas pressionaram os governos para comprar mais sistemas de bases de dados. Criadores de tecnologias de identificação impulsionaram um maior uso das suas técnicas de identificação. Estudiosos reclamaram por uma maior transparência sobre a vida privada. Todos eles encontraram apoio nos eventos de 11 de Setembro para argumentar uma maior vigilância de pessoas que não tinham cometido nenhum crime”, declara Marc Rotenberg, director executivo do EPIC.
As ameaças à privacidade detectadas no estudo incluem os sistemas de identificação pessoal (biométrico ou por bilhete de identidade), a vigilância das comunicações e por vídeo e por satélite, os problemas no comércio electrónico, nos registos públicos e nas parcerias público-privados, os sistemas de gestão de direitos digitais, a chamada “Spy TV” (televisão interactiva e T-comércio), a privacidade genética e no local de trabalho. A segunda parte do trabalho analisa a situação isolada em cerca de 50 países, entre os quais Portugal (ver caixa).
Privacidade à portuguesa
Portugal não é um caso complicado em termos de privacidade e direitos cívicos, a julgar pela leitura do estudo “Privacidade e Direitos Humanos 2002”, do Electronic Privacy Information Center (EPIC) e da Privacy International.
O documento analisa o articulado da Constituição no que se refere à protecção da privacidade, o segredo das comunicações e protecção de dados, a Lei da Protecção de Dados Pessoais de 1998, adoptada da directiva comunitária e fiscalizada pela Comissão Nacional de Protecção de Dados (com dados estatísticos e exemplos até 2000), e passa ao de leve pela legislação sobre crime informático, do acesso a documentos administrativos ou por outras convenções assinadas por Portugal no âmbito do Conselho da Europa ou da OCDE.
No entanto, não são abordados alguns dos casos ocorridos após o 11 de Setembro. Logo no final desse mês, o então governo do primeiro-ministro António Guterres aprovou em Conselho de Ministros uma proposta de lei para modificar a classificação de documentos, visando restringir o acesso a documentos de segurança interna e externa, relações externas e sobre questões económicas e financeiras, bem como de investigação criminal, técnica e científica e sobre a intimidade das pessoas.
As questões polémicas prendiam-se com a classificação das questões económicas e a manutenção da classificação mesmo no âmbito de processos judiciais. Ao PÚBLICO de 19 de Outubro, o deputado João Cravinho (PS), ironizava: “É uma filosofia inspirada noutros casos europeus, mas não me parece válida. A não ser que os documentos a esconder dos cidadãos sejam tantos que já não há ministro que chegue para classificar, é preciso desconcentrar”. E concluía que “o problema é que isto é para impedir a discussão pública de documentos que deveriam ser debatidos na opinião pública”.
Também em Outubro, Guterres anunciou a intenção de criar uma base nacional de ADN, a partir da recolha de elementos como a saliva, unhas ou cabelo. Um projecto benéfico “se Portugal se tornar activo e fizer 10 ou 15 anos antes o que inevitavelmente terá de fazer mais tarde”, afirmava à agência Lusa o secretário de Estado da Justiça, Diogo Machado, no início de Novembro. A ideia não era nova e tinha sido abordada publicamente por Duarte Nuno Vieira, presidente do Instituto Nacional de Medicina Legal, reclamando um necessário debate público (PÚBLICO, 20.06.2001).
Ainda no âmbito da privacidade na saúde, a Juventude Socialista avança em Dezembro com um anteprojecto para tornar obrigatório o rastreio de doenças infecto-contagiosas, obrigando a ter um comprovativo de testes realizados ao HIV, hepatites ou tuberculose para a emissão ou renovação do bilhete de identidade. A resposta veio novamente de dentro das hostes socialistas, pela deputada Ana Benavente: a proposta é “totalitária e autoritária”.
Já este ano, em Fevereiro, o semanário Expresso revela que a empresa que criou as pulseiras electrónicas para os presos em liberdade condicionada pensa usá-las na saúde (para “doentes que sofrem da doença de Alzheimer ou toxicodependentes em tratamento”) ou na educação (“com alunos, nos recreios das escolas e em excursões ou visitas de estudo. Neste caso, as pulseiras são substituídas por um aparelho que se pode pendurar ao pescoço”).
Em Maio, é a vez da Optimus ser processada por um cliente, no âmbito de uma história complicada, em que a operadora telefónica forneceu uma lista de dados confidenciais de telefonemas do cliente à Polícia Judiciária, sem esta ter apresentado qualquer mandato judicial mas apenas um pedido de listagem “imprescindível para a investigação do inquérito crime”, segundo revelou o Portugal Diário.
Finalmente, em Agosto, na proposta do novo Código de Trabalho ainda em discussão, o Governo preconiza que as empresas podem exigir informações sobre a vida privada dos trabalhadores e a realização de testes ou exames médicos no caso deles serem relevantes para a actividade a desempenhar. Embora pareça razoável para certas profissões, a formulação da proposta de lei cria uma situação em que “o candidato a empregado deverá colocar em tribunal a sua futura entidade patronal sempre que considerar que a lei foi ultrapassada”, como referia o Público a 23 de Agosto. O que se torna complicado em termos de exames genéticos, algo que as empresas estão impedidas de exigir actualmente.
Qual a importância social destas questões no nosso país? Poucos dias após o 11 de Setembro, metade dos inquiridos numa sondagem da Universidade Católica para o PÚBLICO, Antena 1 e RTP considerava que a “vigilância contra o terrorismo tem de aumentar, mesmo que isso afecte as nossas liberdades individuais”, enquanto apenas 36,4 por cento respondia à questão com o formulado de “desde que isso não afecte as nossas liberdades individuais” (embora estas não fossem especificadas no inquérito).
Já agora, na Global Terrorism Database do National Consortium for the Study of Terrorism and Responses to Terrorism, Portugal não tem qualquer incidente.
Também a propósito e porque isto não tem só a ver com política: Ficheiro de ADN omite doenças: Informações podem ser apetecíveis a patrões e seguradoras do ramo vida: Menos convencido quanto à utilidade desse ficheiro está o ex-director do Instituto de Medicina Legal do Porto, José Pinto da Costa, que considerou não ser fundamental a criação da base de dados, embora admitisse desconhecer a proposta de lei aprovada. "Não me parece que tenha especial utilidade em Portugal, a não ser para casos excepcionais, como serial killers ou abusos sexuais", disse o especialista, esclarecendo que a identificação de cadáveres faz--se sem base de dados genéticos". O Governo prepara-se para apresentar as regras dessa base de dados.
E nada como saber quem fornece e faz a manutenção da base de dados - ou seja, quem ganha com este negócio...