A ilusão de que a "privacidade suíça" é a melhor

A "privacidade suíça" pode não ser tão forte como se pensa. Combater a vigilância com encriptação forte, não com localização.

Switzerland Actively Works with Global Intelligence Agencies.

Há muita discussão no domínio da privacidade sobre o facto de a Suíça ser um paraíso seguro para manter os seus dados longe das agências de informação. Muitas pessoas partem do princípio de que, se é seguro guardar lá o seu dinheiro, também é um bom sítio para proteger os dados. Mas a verdade diz o contrário.


tl;dr: Não caia na onda da privacidade suíça. Com acordos de partilha de dados semelhantes aos da UE, a Suíça não o pode proteger se as autoridades estrangeiras solicitarem os seus dados.

O nosso mundo tornou-se totalmente interligado através de vastos emaranhados de cabos, servidores e comunicações sem fios. Após as revelações de Snowden, surgiram vários rumores na Internet e na sociedade em geral sobre locais no mundo que operam fora do alcance do olhar atento dos serviços secretos da NSA, dos Cinco Olhos e dos Catorze Olhos. Mas até que ponto são verdadeiras estas afirmações?

Haverá algum datahaven no mundo que ofereça verdadeiramente uma proteção superior contra Estados-nação ou outros agentes de ameaças persistentes avançadas?

A Rússia parece ser o local escolhido para os grupos criminosos de ransomware que procuram escapar à jurisdição legal dos EUA, as micronações têm aventado a possibilidade de soluções de armazenamento e alojamento de dados off-shore, mas o que dizer da Suíça e da Swiss Privacy?

A pequena nação montanhosa foi durante muito tempo aclamada como um bastião da liberdade de privacidade, nomeadamente no sector bancário e financeiro, uma vez que a Suíça ofereceu serviços para ajudar indivíduos ricos a fugir às leis fiscais locais.

Mas será que podem fazer a mesma afirmação no que diz respeito à proteção de dados online e será realmente possível para qualquer local do globo escapar ao leviatã da vigilância digital?

O modelo de segurança suíço é como o queijo deles. Cheio de buracos.

Muitas empresas orientadas para a privacidade sediadas na Suíça tentam promover-se com base na premissa de que, de alguma forma, este pequeno país existe numa bolha protetora fora do alcance dos serviços secretos internacionais ou das agências de aplicação da lei. Para além do facto de isto ser facilmente desmascarado e de a privacidade suíça não ser melhor do que, por exemplo, a privacidade alemã, e de existirem múltiplos exemplos do governo suíço a trabalhar ativamente com as agências de aplicação da lei dos EUA, esta estranha suposição de protecções especiais persiste. Isto leva-nos a perguntar, face a provas fáceis de encontrar que provam o contrário, porque é que as pessoas assumem que a Suíça é um paraíso de dados?

A resposta é tripla: a Suíça não faz parte da UE, a Suíça tem mantido uma longa história de neutralidade e ganhou a reputação de ser um paraíso seguro para o armazenamento de riqueza e a evasão fiscal através da infame “conta bancária suíça”.

Vamos examiná-los para determinar se de facto apoiam ou não a conclusão de que os seus dados estão realmente mais seguros se os servidores estiverem localizados na Suíça e, portanto, protegidos com a “Privacidade Suíça”.

1. A Suíça não faz parte da UE

Que papel desempenha o facto de um país ser membro da UE na sua cooperação com agências de informação globais como as dos Estados Unidos? Em primeiro lugar, o facto de existir para além da fronteira dos EUA acrescenta um elemento de segurança, na medida em que as autoridades americanas não podem chegar imediatamente ao seu local de residência e deitar a porta abaixo. No entanto, existem vários acordos bilaterais de troca de informações entre a UE e os Estados Unidos. Alguns países têm as suas próprias parcerias específicas com as agências de informação Five Eyes.

Embora se possa pensar que, pelo facto de a Suíça não ser membro da UE, não está envolvida neste tipo de partilha de dados, não é esse o caso. O “Clube de Berna” é um grupo voluntário de partilha de informações entre os 27 países da UE, a Noruega e, adivinhou, a Suíça. Fundado em 1971, o grupo partilha ativamente os dados que recolhe para monitorizar as ameaças. Na sequência dos ataques terroristas de 11 de setembro de 2001, este grupo criou também um programa secundário denominado Grupo Anti terrorista, que tem por objetivo partilhar informações para evitar futuros ataques terroristas em todo o mundo. A análise das informações recolhidas por estes grupos é introduzida no Centro de Informação e Situação da União Europeia, que colabora com o Reino Unido, membro dos Cinco Olhos.

A Suíça é também membro da Interpol e trabalha em cooperação ativa com a Europol, o que inclui também a partilha de informações criminais com outros países da UE e do espaço Schengen. O país também trabalha no âmbito do Centro Europeu da Cibercriminalidade para combater a atividade criminosa em linha. Outro membro deste grupo que não pertence à UE são os Estados Unidos da América. Apesar de ir contra a narrativa online, este facto não deveria ser surpreendente porque é precisamente assim que funciona um gabinete de informações.

Apesar das suas repetidas afirmações de que a existência fora da UE oferece, de alguma forma, uma maior proteção de dados, isso está longe de ser verdade. O governo suíço recolhe e partilha dados com os Estados-Membros da UE, bem como com o Reino Unido e os EUA, pelo que os dados armazenados dentro das suas fronteiras não são mais seguros do que os dados armazenados em França ou na Alemanha. A ideia de que a fronteira nacional suíça proporciona uma forma especial de privacidade é uma ilusão.

2. A Suíça mantém a neutralidade política

Na sequência das consequências de um incidente grave de roubo de dados no NDB (Serviço Federal de Informações) suíço, um relatório da Reuters mostrou que a Suíça tem trabalhado diretamente com as agências de informações dos EUA e do Reino Unido. Este facto não surpreende, uma vez que, há alguns anos, o governo suíço declarou ter recebido 9000 dados únicos e partilhado 4500 dados com mais de 100 agências de informação estrangeiras diferentes. Este facto contradiz a alegação vazia frequentemente apresentada de que, de alguma forma, a Suíça consegue operar em isolamento político.

A neutralidade também não significa que os serviços secretos suíços actuem dentro do seu próprio país. O programa Onyx, galardoado com o “Prémio Big Brother”, que intercepta dados de telefone, Internet e fax, está instalado nas belas cidades montanhosas de Leuk, Zimmerwald e Heimanschwand. O sistema Onyx recolhe este tráfego com base em determinadas palavras-chave solicitadas pelas agências de informação, após aprovação por terceiros independentes. A NDB afirma que não está a recolher tráfego interno, mas qualquer tráfego que tenha um destino para além da fronteira suíça é um jogo justo, mesmo que seja enviado por um cidadão suíço. Esta prática não é única e o NDB suíço funciona de forma semelhante a outras agências nacionais de informação.

Onyx Program Data Collection Station

Estação de recolha de dados do programa Onyx

Esta recolha de tráfego transfronteiriço significa que, se estiver a ligar-se a um serviço baseado na Suíça a partir de fora da Suíça, os seus dados estão a ser ativamente recolhidos e partilhados com outras agências de informação em todo o mundo.

Lá se vai o valor da “privacidade suíça”.

3. Os bancos suíços ajudam ativamente os cidadãos estrangeiros a esconder dinheiro

As primeiras leis que protegem as instituições financeiras suíças da partilha de dados de clientes foram instituídas em 1713, em Genebra. Estas leis permitiram que pessoas e empresas ricas de toda a Europa escondessem dinheiro fora dos seus países de origem, evitando assim o pagamento de impostos. Esta prática tornou-se aceite e, aliada à neutralidade política da Suíça, o país tornou-se um destino bancário de referência para o branqueamento de capitais e a evasão fiscal.

Esta cortina de segredo caiu em 2018, quando a Suíça se tornou um participante ativo na Norma Comum de Comunicação (CRS), que exige que os países membros partilhem informações sobre contas financeiras pertencentes a clientes estrangeiros. Isto significa que, em todas as épocas fiscais, os bancos e as instituições financeiras são obrigados a entregar informações relacionadas com clientes não nativos que são obrigados a pagar impostos noutro país. Atualmente, há um total de 38 países que participam no CRS, incluindo os Estados Unidos, toda a União Europeia, a Noruega, o Reino Unido, o Canadá, a Austrália, a Nova Zelândia, o Japão, a Coreia do Sul e Israel. Algumas destas nações devem chamar a sua atenção, uma vez que são membros dos programas de inteligência Five Eyes e Fourteen Eyes.

Leuk Surveillance Station

Estação de vigilância de Leuk

Com toda esta informação a ser canalizada para os países que operam o maior e mais abrangente aparelho de espionagem do mundo, o simples facto de ter um banco localizado na Suíça não significa nada. Na era digital, as fronteiras físicas dos estados-nação soberanos têm pouco ou nenhum poder dissuasor no que diz respeito à proteção de dados.

Encriptação vs. Localização

Com todos estes acordos globais de partilha de informações, estamos a viver num mundo em que não existe um único local onde seja seguro “esconder” os seus dados. Por isso, não caia na promessa da privacidade suíça.

Independentemente do local onde armazena os seus dados, se se tornar suficientemente interessante, é provável que as suas informações cheguem às mãos das autoridades policiais ou dos serviços secretos, quer através de vigilância direta, quer através de pressão legal para partilhar os dados disponíveis. Até mesmo as instalações seguras com redes de ar comprimido são vulneráveis a estas ameaças persistentes avançadas, tal como evidenciado pelos (presumíveis) ciberataques dos EUA e de Israel às instalações nucleares iranianas com o Stuxnet.

A Suíça é boa para a privacidade?

A Suíça é geralmente considerada um bom país para a privacidade devido às suas sólidas leis de proteção de dados e à sua reputação de salvaguardar as contas bancárias das pessoas, nas quais se baseia em grande parte a boa reputação do país em termos de proteção dos direitos de privacidade. Tal como a Alemanha, o pequeno país dos Alpes, a Suíça, tem regulamentos abrangentes que regem a recolha, o processamento e o armazenamento de dados pessoais, proporcionando uma base jurídica sólida para a proteção da privacidade. No entanto, deve ter-se em atenção que a Suíça tem leis de retenção de dados, enquanto a Alemanha não tem . Embora não seja perfeita para os direitos de privacidade, a Suíça possui um quadro jurídico sólido para a proteção da privacidade.

As leis de proteção de dados do país são muito semelhantes às leis da Alemanha nos seus rigorosos requisitos de segurança de dados estabelecidos na Lei Federal Suíça sobre Proteção de Dados (Schweizer Bundesgesetz über den Datenschutz, DSG). A independência jurídica da Suíça em relação à União Europeia, o seu estatuto político neutro e um historial de proteção dos direitos de privacidade fazem com que pareça ser uma escolha atractiva para as empresas que procuram um ambiente operacional seguro e preocupado com a privacidade. No entanto, o quadro jurídico não é muito diferente do da União Europeia ou da Alemanha, nomeadamente o Regulamento Geral sobre a Proteção de Dados da UE (RGPD) é uma das melhores legislações em matéria de proteção de dados e é válido na UE e na Alemanha, mas não na Suíça.

Suíça vs EUA

A Suíça e os Estados Unidos diferem significativamente na sua legislação em matéria de privacidade, sobretudo no que diz respeito às actividades das agências de informação e às leis de vigilância. A Suíça - tal como a Alemanha - tem leis de proteção de dados abrangentes que dão prioridade aos direitos de privacidade individuais e, historicamente, opõe-se à vigilância em massa, impondo limites legais mais rigorosos às suas agências de informações, o NDB suíço e o BND alemão. Em contrapartida, os Estados Unidos, através de legislação como a Foreign Intelligence Surveillance Act (FISA) e a USA PATRIOT Act, concedem poderes de vigilância mais alargados a agências como a NSA e o FBI. A FISA é particularmente preocupante em termos de proteção da privacidade das pessoas, uma vez que permite a vigilância de cidadãos não americanos, incluindo potencialmente a comunicação com cidadãos americanos, o que suscita preocupações em matéria de privacidade e de abuso de poder.

Por exemplo, o FBI já abusou da FISA 702 milhões de vezes através de buscas sem mandado em chamadas, mensagens de texto e correio eletrónico de americanos. Com a recente re-autorização da FISA 702 até 2025, esta vigilância ilegal em massa das comunicações dos americanos vai continuar.

Em suma, a Suíça - tal como a Alemanha - é geralmente considerada um local favorável à privacidade, tanto devido ao seu enquadramento legal como ao compromisso histórico de proteção dos direitos de privacidade individuais.

A localização não significa que os seus dados estejam seguros. Apenas uma encriptação forte pode proporcionar essa paz de espírito.

Em vez de procurar santuários de armazenamento especiais, a melhor opção é encriptar todos os seus dados com encriptação segura de ponta a ponta. Se os dados caírem nas mãos de um determinado agente de ameaça, o conteúdo real permanece seguro, uma vez que só conseguirão ver uma mistura confusa de coisas sem sentido. A segurança operacional adequada e a encriptação forte devem ser a norma quando se trata de proteger a sua vida digital. Para além de escolher serviços que protegem os seus dados com encriptação, deve optar por aqueles que estão atualmente a seguir novos modelos de encriptação, que incluem o sigilo perfeito para a frente e a encriptação pós-quântica. Isto permite-lhe ter a certeza de que os seus dados não serão vítimas da estratégia “recolher agora, desencriptar depois”.

Conclusão: As leis de privacidade suíças são boas e são muito semelhantes às leis do RGPD em vigor na Alemanha. No entanto, estas leis não o protegem de programas de vigilância nacionais ou internacionais. Em vez disso, a encriptação de ponta a ponta é a melhor ferramenta para proteger os seus dados.

Mantenha-se vigilante e seguro. Boa encriptação!