Carta aberta que apela aos Estados-Membros da UE para que defendam a encriptação
No momento em que o trílogo está prestes a começar, os Estados-Membros da UE têm de decidir de que lado estão: da privacidade ou da vigilância.
No ano passado, foi com grande entusiasmo que assistimos ao acordo histórico do Parlamento Europeu contra a vigilância do controlo das conversas. Gostaríamos de aplaudir o Parlamento Europeu pela decisão de defender o direito das pessoas à privacidade e de manter uma encriptação forte na Europa. Na sua decisão, o Parlamento Europeu seguiu o conselho de 300 cientistas e peritos em criptografia e do Serviço de Investigação do Parlamento Europeu (EPRS), que criticaram fortemente o controlo das conversações pelos seus vastos poderes de vigilância, que destruiriam o direito à privacidade em linha e prejudicariam a liberdade de expressão, minando assim os nossos valores democráticos.
Embora o mundo esteja a enfrentar mais tendências de vigilância do que nunca - como se pode ver na lei sobre segurança em linha no Reino Unido, na legislação australiana sobre vigilância e na reforma da FISA nos EUA-, a União Europeia tem agora a oportunidade única de se tornar o farol de esperança para a liberdade de expressão e a democracia.
Com o Regulamento Geral sobre a Proteção de Dados (RGPD), a UE estabeleceu uma norma muito elevada para a proteção de dados e a privacidade na UE. Agora é importante manter este elevado nível de privacidade, defendendo uma encriptação forte para que os cidadãos e as empresas da UE possam continuar a usufruir da privacidade e confidencialidade em linha ao mais alto nível possível.
Carta aberta aos Estados-Membros da UE sobre a proposta de Regulamento CSA
Caros Ministros do Interior, da Justiça e da Economia dos Estados-Membros da UE,
Escrevemos-vos na qualidade de pequenas e médias empresas e organizações da Europa, preocupados com a proposta de Regulamento sobre Abuso Sexual de Crianças (CSA). Coletivamente, apelamos a que assegurem que a posição do vosso país sobre este assunto se aproxime o mais possível da posição do Parlamento Europeu (PE). Todos concordamos que garantir a segurança das crianças em linha é um dos deveres mais importantes das empresas tecnológicas e, por esta razão, consideramos a proposta de regulamento da Comissão Europeia extremamente preocupante. Se fosse implementado tal como proposto, teria um impacto negativo na privacidade e na segurança das crianças em linha, ao mesmo tempo que teria consequências dramáticas e imprevistas no panorama da cibersegurança da UE, para além de criar uma carga administrativa ineficaz. O Parlamento Europeu adoptou recentemente a sua posição sobre o dossiê, reconhecendo que as tecnologias de digitalização não são compatíveis com o objetivo de ter comunicações confidenciais e seguras. As alterações cruciais que introduz na proposta reflectem os pareceres da Autoridade Europeia para a Proteção de Dados (AEPD), dos serviços jurídicos do Conselho e de inúmeros peritos em criptografia e cibersegurança. Reflecte igualmente a opinião de 63% a 69% das empresas, autoridades públicas, ONG e cidadãos consultados pela Comissão Europeia na sua avaliação de impacto. Enquanto pequenas e médias empresas e organizações tecnológicas, partilhamos as suas preocupações, pois sabemos que a procura de conteúdos específicos - como texto, fotografias e vídeos - numa comunicação encriptada de extremo a extremo exigiria a implementação de uma porta das traseiras ou de uma tecnologia semelhante denominada “client-side scanning”. Mesmo que este mecanismo seja criado com o objetivo de combater a criminalidade em linha, também seria rapidamente utilizado pelos próprios criminosos, colocando os cidadãos e as empresas em maior risco em linha ao criar vulnerabilidades para todos os utilizadores.
A proteção de dados é uma forte vantagem competitiva
Enquanto empresas tecnológicas que operam na União Europeia, criámos produtos e serviços em conformidade com o sólido quadro de proteção de dados da UE, que continua a servir de exemplo e inspiração em todo o mundo. O RGPD permitiu a criação na Europa de empresas tecnológicas éticas e centradas na privacidade, que de outra forma nunca teriam podido competir com as grandes empresas tecnológicas. Deu às empresas europeias uma forte vantagem competitiva nesse domínio a nível internacional e permitiu que os consumidores pudessem finalmente encontrar alternativas aos serviços americanos e chineses. Os nossos utilizadores, tanto na UE como fora dela, passaram a confiar no nosso empenho em salvaguardar os seus dados e essa confiança é um motor essencial da nossa competitividade. A curva de aprendizagem para nos adaptarmos aos encargos administrativos necessários decorrentes do RGPD foi elevada, mas valeu a pena. No entanto, o Regulamento CSA poderia ameaçar este ponto de venda único das empresas europeias de TI e acrescentaria também uma nova carga administrativa que receamos que possa sobrecarregar tanto as nossas empresas como os organismos responsáveis pela aplicação da lei. Tendo em conta o volume de comunicações e conteúdos que transitam pelos nossos serviços, mesmo uma taxa de erro insignificante das tecnologias aplicadas para detetar material abusivo resultaria em milhões de falsos positivos que teriam de ser analisados manualmente todos os dias.
O Regulamento CSA pode afetar a confiança e a segurança em linha
Num mundo em que as violações de dados e os escândalos relacionados com a privacidade são cada vez mais comuns, a reputação da UE em matéria de proteção rigorosa dos dados é um ponto de venda único para as empresas que operam dentro das suas fronteiras. Proporciona-nos uma vantagem competitiva, garantindo aos nossos clientes que as suas informações são tratadas com o máximo cuidado e integridade. Uma vez corroída, esta confiança é difícil de reconstruir, e quaisquer medidas que a comprometam, como a digitalização obrigatória ou a verificação obrigatória da idade, têm o potencial de prejudicar tanto as grandes como as pequenas empresas. Além disso, a UE adoptou recentemente o Regulamento 2023/2841, que obriga as instituições e organismos da UE a considerar a utilização da cifragem de ponta a ponta entre as suas medidas de gestão dos riscos de cibersegurança. Existem também várias propostas “cibernéticas” da UE atualmente em discussão, como a Lei da Ciber-resiliência e a Lei da Cibersegurança. Apoiar uma abordagem oposta para o Regulamento CSA só prejudicaria o quadro de cibersegurança da UE, criando um novo conjunto de medidas contraditórias, incoerentes e ineficientes que as empresas não poderiam aplicar sem colocar os cidadãos e as empresas em risco.
A proposta do Parlamento Europeu vai na direção certa
Por conseguinte, aplaudimos o Parlamento Europeu pela sua posição resoluta na defesa do direito dos cidadãos europeus à privacidade e à segurança das comunicações. O compromisso do Parlamento Europeu com estes princípios não é apenas um testemunho da sua dedicação aos direitos humanos, mas também um farol de esperança para empresas como a nossa, que dão prioridade à proteção e segurança dos dados. A posição do Parlamento inclui alternativas ao scanning que têm um impacto mínimo na cibersegurança e na proteção de dados e que, segundo os peritos, seriam mais eficazes e mais eficientes do que o scanning obrigatório. Estas mudanças de paradigma significariam ultrapassar a falsa dicotomia entre privacidade e segurança, ao mesmo tempo que fariam com que a proposta respeitasse o princípio da proporcionalidade, tal como solicitado pelo Comité de Controlo da Regulamentação. Mesmo que não sejam perfeitas aos nossos olhos, as alterações que o Parlamento Europeu introduziu na sua posição constituem um bom compromisso para manter a segurança e a confidencialidade digitais e para proteger melhor as crianças em linha. Acreditamos que estas alterações estabelecem o equilíbrio certo entre a proteção das crianças e a salvaguarda da privacidade e da cibersegurança.
Enquanto representantes da vibrante comunidade europeia das pequenas empresas, encorajamos os Estados-Membros da UE a continuarem a defender os valores da privacidade, da cibersegurança e da proteção de dados. Estes princípios não só se alinham com o compromisso da UE para com os direitos humanos, como também servem de base para um ambiente empresarial próspero e competitivo. Defendamos e reforcemos estes princípios, assegurando que a UE continua a ser um defensor da privacidade no mercado mundial.
Por estas razões, convidamo-lo a
- Assegurar que a posição do Conselho seja alinhada, tanto quanto possível, com a do Parlamento Europeu. Isto permitirá uma adoção mais rápida do regulamento, com base no importante trabalho do Parlamento Europeu.
- Manter o elevado nível de direitos fundamentais - e, em particular, de proteção de dados - de que gozam os cidadãos na União Europeia.
- Abster-se de obrigar empresas como a nossa a efetuar a vigilância em massa da correspondência privada em nome de agências de aplicação da lei.
- Garantir um elevado nível de cibersegurança na UE, protegendo a cifragem de ponta a ponta e introduzindo no texto as salvaguardas necessárias. O controlo do lado do cliente e as backdoors, em particular, não devem ser obrigatórios.
- Preservar a confidencialidade da correspondência.
- Minimizar o ónus administrativo da proposta, tornando-a mais eficaz e eficiente, através de alternativas à digitalização em massa.
Assinado:
Soluções Blacknight
Cyberstorm
Elemento
Porta 15
Mailfence
Mail.de GmbH
Olvid
One Privacy
Parsec
Proton
Seezam
Surfshark
TelemetryDeck
Threema
Tresorit
Tuta
Associações comerciais e apoiantes:
ACT | The App Association
Defender a Democracia
Encryption Europe
ISOC-CAT
Conselho de Privacidade e Acesso do Canadá
STUDIO LEGALE FABIANO