Notícias Tuta

A encriptação não é negociável: carta aberta à UE para que não ponha em causa a privacidade.

A encriptação protege-nos a todos. Na Tuta, preferimos sair da UE a ceder às exigências de minar a encriptação.

The EU vs encryption? It's time that politicians understand that encryption protects us all!

Na Tuta, lutamos pelo seu direito à privacidade através da encriptação. Mas a UE ainda está a discutir políticas e exigências de aplicação da lei que ameaçam quebrar a encriptação. Se a UE continuar a seguir este caminho, a Tuta tem duas opções: comprometer a nossa encriptação de segurança quântica ou mudar-se para uma região que valorize e proteja a privacidade digital. Para nós, a resposta é fácil. Preferimos sair da UE a quebrar a nossa encriptação de fonte aberta. Agora assinámos uma carta aberta e, juntamente com mais de 50 organizações e empresas, apelamos à UE para que defenda uma encriptação forte e os direitos de privacidade.

Hoje, uma coligação de 55 associações profissionais, meios de comunicação social, organizações de direitos humanos, sindicatos e empresas tecnológicas emitiu uma carta conjunta instando os ministros da UE a adoptarem uma agenda de segurança digital que promova os direitos fundamentais e apoie um ecossistema digital seguro. A carta manifesta a sua preocupação com as recomendações do Grupo de Alto Nível (GAN) sobre o alargamento do acesso das autoridades policiais aos dados pessoais, receando que estas possam conduzir a uma vigilância em massa e comprometer a privacidade.

Matthias Pfau, diretor executivo da Tuta, adverte que, se a UE continuar nesta via, corre o risco de perder empresas inovadoras e centradas na privacidade e a confiança dos seus cidadãos:

“Se a UE continuar a seguir este caminho de minar a encriptação, será impossível para empresas como a Tuta Mail operarem dentro das suas fronteiras. Na Tuta, lutamos pelo direito de todos à privacidade através da encriptação; e continuaremos a fazê-lo! Se a UE tentar impedir-nos, preferimos deslocalizar-nos a pôr em causa a nossa encriptação de segurança quântica. A UE arrisca-se a perder empresas inovadoras e centradas na privacidade - e, com elas, a confiança dos seus cidadãos”, afirma Matthias Pfau, Diretor Executivo da Tuta Mail.

O enfraquecimento da encriptação representa um sério risco para a segurança digital, como demonstraram os recentes ciberataques a fornecedores de telecomunicações dos EUA por atacantes apoiados pelo Estado chinês. Esta recente violação da segurança nos EUA realça a importância de uma encriptação robusta. A UE tem de repensar a sua abordagem - porque enfraquecer a encriptação não é apenas uma opção política, é uma ameaça à segurança de todos. A encriptação é a base de uma comunicação digital segura e fiável. Comprometer essa base abre a porta para agentes mal-intencionados, ameaçando a segurança de cidadãos, empresas e governos.

Enquanto as autoridades americanas - na sequência do ataque da China às infra-estruturas digitais dos EUA - recomendam cada vez mais a utilização de ferramentas de comunicação cifradas de ponta a ponta, a UE está a avançar na direção oposta, discutindo políticas que enfraqueceriam a cifragem e negariam a todos a privacidade digital. Uma encriptação forte é essencial para proteger contra várias ameaças em linha, e a UE deve dar prioridade a uma segurança e privacidade sólidas em detrimento de políticas que criem vulnerabilidades sistémicas.

As “backdoors” para a encriptação nunca são uma opção - porque os agentes maliciosos abusarão delas.

Pontos principais da carta aberta

  • Respeito pelos direitos fundamentais: A carta opõe-se a medidas como o “acesso legal desde a conceção”, que podem levar ao enfraquecimento da encriptação e dos sistemas de segurança digital, comprometendo os dados pessoais e as comunicações. Sublinha a necessidade de defender o direito à privacidade e de evitar pôr em causa a encriptação, que é crucial para salvaguardar a segurança e a liberdade dos indivíduos.

  • Privacidade e sigilo profissional: A carta sublinha que as medidas que permitem o acesso ilimitado às forças da ordem podem comprometer a confidencialidade das comunicações, incluindo as que estão protegidas pelo sigilo profissional, como entre médicos e doentes, jornalistas e fontes e advogados e clientes. Estas protecções são vitais para salvaguardar outros direitos fundamentais, como a liberdade de expressão e de expressão.

  • Segurança do ecossistema digital: A carta alerta para o facto de a proposta do Grupo de Alto Nível poder pôr em causa o sólido quadro de segurança digital da UE, como o RGPD, conduzindo a um ecossistema digital enfraquecido. A carta adverte contra a obrigatoriedade de os prestadores de serviços recolherem dados desnecessários ou permitirem a interceção, uma vez que isso degradaria os sistemas de segurança e criaria vulnerabilidades. Existe a preocupação de que a implementação de backdoors para a aplicação da lei exponha os sistemas à exploração por actores maliciosos.

  • Impacto nas empresas da UE: A carta salienta que a adoção de medidas de execução e sanções rigorosas poderia prejudicar os pequenos prestadores de serviços seguros, podendo levá-los a sair do mercado. Isto afectaria negativamente as ambições da UE em matéria de cibersegurança e a sua capacidade de prestar serviços seguros.

Leia a carta na íntegra para compreender como os decisores políticos devem equilibrar as necessidades de aplicação da lei com a proteção dos direitos fundamentais, sem comprometer a privacidade de todos.

Turn ON Privacy in one click.

Carta aberta

Carta conjunta apelando a que a agenda de segurança digital da UE promova os direitos fundamentais e apoie um ecossistema digital seguro

Caros Ministros,

Nós, as associações profissionais, organizações de comunicação social e de direitos humanos, sindicatos e empresas tecnológicas abaixo assinadas, escrevemos a V. Exa. para sublinhar a necessidade de uma agenda de segurança digital da UE que garanta a justiça, a responsabilização e o respeito dos direitos fundamentais e apoie o desenvolvimento de um ecossistema digital seguro.

Neste contexto, gostaríamos de partilhar as nossas preocupações no que respeita às recomendações e ao relatório apresentados pelo Grupo de Alto Nível (GAN) sobre o acesso aos dados para uma aplicação eficaz da lei. Tendo em conta o objetivo geral do Grupo de Alto Nível de conceder às autoridades responsáveis pela aplicação da lei o máximo acesso possível aos dados pessoais, identificamos riscos importantes de vigilância em massa, bem como ameaças substanciais à segurança e à privacidade, se estas recomendações forem tomadas como base para futuras políticas e legislação da UE. Por conseguinte, instamos a que sejam consideradas as seguintes recomendações ao definir as prioridades da UE neste domínio político.

Respeitar os direitos fundamentais e garantir a segurança e a confidencialidade dos espaços digitais

Gostaríamos de alertar contra a concessão de capacidades ilimitadas aos serviços de aplicação da lei, que podem conduzir a uma vigilância em massa e violar os direitos fundamentais.

Em particular, estamos extremamente preocupados com o conceito de “acesso legal desde a conceção” apoiado pelo Grupo de Alto Nível, que visa integrar o acesso aos dados por parte dos serviços de aplicação da lei no desenvolvimento de todas as tecnologias. Na prática, exigiria o enfraquecimento sistémico de todos os sistemas de segurança digital, incluindo, entre outros, a cifragem. Consequentemente, comprometeria a segurança e a confidencialidade dos dados e das comunicações electrónicas, colocaria em risco a segurança de todos e violaria gravemente os direitos fundamentais das pessoas. Este conceito vai contra as recomendações há muito estabelecidas por organizações de direitos humanos, especialistas em proteção de dados e cibersegurança, bem como pela jurisprudência do Tribunal Europeu dos Direitos do Homem (TEDH).

Por conseguinte, recomendamos que se rejeite qualquer medida que possa contornar as protecções proporcionadas pela encriptação ou enfraquecê-las, uma vez que criaria ameaças à segurança e à privacidade de milhões de pessoas, instituições públicas e prejudicaria inevitavelmente o ecossistema de informação digital em geral.

Além disso, gostaríamos de recordar que qualquer futuro regime harmonizado da UE em matéria de conservação e acesso aos dados deve respeitar os requisitos legais de necessidade e proporcionalidade estabelecidos na legislação da UE e a jurisprudência bem estabelecida do Tribunal de Justiça da UE (TJUE) e do TEDH para a proteção dos direitos fundamentais contra a vigilância em massa. A este respeito, a proposta de extensão da obrigação de conservação de dados a praticamente todos os serviços da sociedade da informação, incluindo a Internet das coisas e os serviços baseados na Internet, é particularmente preocupante, uma vez que exigiria a conservação indiscriminada e não direcionada de dados pessoais. Este controlo amplo e geral geraria nas pessoas a sensação de que a sua vida privada é objeto de vigilância constante e não pode ser considerado conforme com os requisitos acima referidos.

Defender o direito à privacidade e à inviolabilidade das informações protegidas

Embora o direito à privacidade e à confidencialidade das comunicações não seja absoluto, qualquer interferência nos direitos fundamentais deve respeitar os princípios da legalidade, da estrita necessidade e da proporcionalidade. A conservação geral e indiscriminada de dados pessoais que permite a criação de perfis pormenorizados do indivíduo e as medidas que comprometem a segurança de todas as comunicações privadas não respeitam estes princípios.

Estas medidas gerais e indiscriminadas afectam igualmente as pessoas cujas comunicações estão sujeitas ao segredo profissional, como os médicos e os seus pacientes, os jornalistas e as suas fontes, os advogados e os assistentes sociais e os seus clientes. A proteção jurídica concedida a essas comunicações é uma garantia sine qua non para o exercício efetivo de outros direitos fundamentais, incluindo o direito a um julgamento justo e à defesa, a liberdade de expressão e de informação, incluindo as liberdades dos meios de comunicação social e da imprensa, a liberdade de pensamento e de religião, a liberdade de reunião e de associação e os direitos à assistência social e aos cuidados de saúde.

Preocupa-nos que os amplos poderes previstos para a aplicação da lei acederem aos dados interfiram com a confidencialidade das comunicações protegidas e com os direitos fundamentais conexos. Estas medidas correm o risco de ser utilizadas de forma abusiva para atingir jornalistas, defensores dos direitos humanos, advogados, activistas e dissidentes políticos. Fundamentalmente, a UE deve garantir a inviolabilidade dos dados e outras provas abrangidas pelo princípio do privilégio profissional legal ou do sigilo profissional.

Apoiar um ecossistema digital seguro, fiável e diversificado

Os fabricantes de dispositivos e os prestadores de serviços responsáveis investiram recursos consideráveis para melhorar a segurança dos seus dispositivos e a fiabilidade dos seus serviços. Estas inovações não só satisfazem as exigências de utilizadores cada vez mais preocupados com a privacidade, mas também das autoridades reguladoras responsáveis pela aplicação de normas elevadas nos domínios da cibersegurança e da proteção de dados. A UE tem uma vantagem única graças a um quadro de proteção de dados que estabelece um elevado padrão jurídico para a proteção dos direitos e liberdades fundamentais das pessoas num mundo onde a privacidade está sob constante ataque.

Infelizmente, a visão do Grupo de Alto Nível pode prejudicar a capacidade dos europeus de escolherem ferramentas digitais fiáveis no futuro. Recomenda que se imponham obrigações extensas, e por vezes contraditórias, aos operadores. Estas incluem obrigá-los a recolher e conservar mais dados dos utilizadores do que os necessários para a prestação dos seus serviços, permitir a interceção em tempo real e fornecer dados desencriptados às autoridades policiais, evitando simultaneamente comprometer a segurança dos seus sistemas. Apesar da intenção do GAN de não comprometer a segurança digital, não existe, na realidade, nenhuma forma técnica de quebrar a promessa de cifragem de extremo a extremo sem enfraquecer a segurança dos sistemas de comunicações. Uma backdoor - ou qualquer outro mecanismo de evasão - destinada à aplicação da lei pode sempre ser explorada por outros actores, como o demonstraram numerosos exemplos.

Por último, o Grupo de Alto Nível delineia também um quadro de aplicação preocupante, incluindo sanções severas para dissuadir e punir o incumprimento das obrigações da UE e das ordens de aplicação da lei (sanções administrativas, proibição comercial, prisão). Neste contexto, corre-se o risco de expulsar do mercado da UE operadores fiáveis que ofereçam serviços seguros ou de encerrar a sua atividade se forem pequenos ou sem fins lucrativos, ou de os impedir de desenvolver soluções seguras se estiverem estabelecidos na UE. Escusado será dizer que isto seria altamente prejudicial para as iniciativas e ambições da UE em matéria de cibersegurança.

Compreendemos que as medidas de investigação ao dispor das autoridades responsáveis pela aplicação da lei devem ser adequadas à era digital e eficazes na resposta aos desafios únicos criados pelos serviços em linha transfronteiriços. No entanto, a eficácia não deve ser conseguida à custa do enfraquecimento dos direitos fundamentais, das salvaguardas jurídicas e da economia europeia. Estamos convencidos de que estes objectivos de interesse geral podem ser alcançados com medidas menos intrusivas do que a vigilância em massa e o enfraquecimento sistémico de garantias de segurança essenciais.

Agradecemos antecipadamente a vossa consideração e permanecemos à vossa disposição para quaisquer questões.

Com os melhores cumprimentos,

Acesso Agora

ARTIGO 19, Internacional

Associação dos Jornalistas Europeus, Bélgica (AEJ Bélgica)

Bits of Freedom, Países Baixos

Bolo Bhi, Paquistão

Centre for Democracy and Technology Europe (CDT Europe)

Chaos Computer Club (CCC), Alemanha

União das Liberdades Civis para a Europa (Liberties)

Comité para a Proteção dos Jornalistas (CPJ)

Fórum dos Media Comunitários da Europa (CMFE)

Conselho das Ordens de Advogados da Europa (CCBE)

Cryptee, Estónia

D3 - Defesa dos Direitos Digitais, Portugal

Danes je nov dan, Eslovénia

Datenpunks, Alemanha

Deutsche Vereinigung für Datenschutz e.V. (DVD), Alemanha

Deutscher Anwaltverein (Ordem dos Advogados Alemã)

Digital Rights Ireland (Irlanda)

Digitale Gesellschaft, Alemanha

Digitale Gesellschaft, Suíça

eco - Verband der Internetwirtschaft e.V.

Electronic Frontier Foundation (EFF), Internacional

Electronic Privacy Information Center (EPIC), Estados Unidos da América

Elemento

Epicenter.works - para os direitos digitais, Áustria

Eurocadres

EuroISPA - Associação Europeia de Fornecedores de Serviços Internet

União Europeia de Radiodifusão (UER)

Direitos Digitais Europeus (EDRi)

Federação Europeia de Jornalistas (EFJ)

Associação Europeia de Revistas (EMMA)

Associação Europeia de Editores de Jornais (ENPA)

Conselho Europeu de Editores (EPC)

Fórum Mundial para o Desenvolvimento dos Media (GFMD)

Iniciativa Global Network (GNI)

Iniciativa Heartland

IFEX

Initiative für Netzfreiheit, Áustria

IT-Pol, Dinamarca

La Quadrature du Net, França

Ligue des droits humains, Bélgica

Mailfence, Bélgica

Malta Information Technology Law Association (MITLA)

News Media Europe (NME)

Nextcloud GmbH, Alemanha

Panoptykon Foundation, Polónia

Politiscope, Croácia

Privacy International

Proton, Suíça

SHARE Foundation, Sérvia

Organização dos Media do Sudeste Europeu (SEEMO)

Statewatch, Internacional

Instituto Tech Global

Tuta Mail, Alemanha

Fundação Wikimedia