Documento 'chat control' vazado: A Alemanha irá lutar pela privacidade?
O governo alemão fez perguntas difíceis à Comissão da UE sobre a sua planeada lei de vigilância.
Questões difíceis levantadas
O projecto de regulamento da Comissão Europeia sobre a prevenção e combate ao abuso de crianças é um ataque frontal aos direitos civis. No seu projecto de lei, a Comissão da UE descreve um dos mais sofisticados aparelhos de vigilância em massa jamais implantados fora da China: CSAM (material de abuso sexual de crianças) que faz o scanning nos dispositivos de toda a gente.
O governo alemão, contudo, concordou no seu documento de coligação que cada cidadão tem um “direito à encriptação” - que seria obviamente prejudicado caso o projecto de lei da Comissão da UE se tornasse lei.
Numa declaração interna vazada à Comissão da UE, o governo alemão exige que o projecto de lei seja alinhado com “normas constitucionais para a protecção de comunicações privadas e confidenciais”. A declaração posiciona-se contra “medidas de vigilância geral e de digitalização das comunicações privadas”.
De acordo com a fuga de informação, o governo alemão faz 61 perguntas, que em parte são muito duras e colocarão sérios problemas para a Comissão da UE responder.
Por exemplo, o governo alemão pergunta explicitamente se a referência à importância da encriptação de ponta a ponta no texto também significa que esta encriptação não deve ser minada ao detectar imagens de violência sexual. Além disso, o governo alemão pergunta como o projecto de lei é compatível com certas disposições do Regulamento Geral de Protecção de Dados (GDPR) ou se o software pode ser construído de forma a poder distinguir entre crianças em situações não abusivas (por exemplo, na praia) e as que se encontram em situações abusivas.
Outra questão importante toca a questão da segurança para todos os cidadãos europeus: O governo alemão pergunta como poderia a lei determinar se a tecnologia não seria mal utilizada e como determinaria a sua má utilização.
Como irá a Comissão responder?
Tudo considerado, o governo alemão faz perguntas críticas que trazem à luz todas as fraquezas do projecto de lei da Comissão Europeia: A vigilância geral em massa, tal como proposta com o projecto de lei, irá enfraquecer a segurança dos cidadãos e empresas europeias, e minar o direito à privacidade.
É de esperar que a Comissão Europeia só poderá responder a estas questões de forma insatisfatória. A abundância e profundidade dos pormenores das perguntas do governo alemão, bem como as violações maciças dos direitos fundamentais pela lei proposta, tornam quase impossível responder de uma forma que os peritos em protecção de dados ficarão satisfeitos.
Luta pela privacidade
A pergunta que precisa de ser feita agora é: Como reagirá o governo alemão quando receber as respostas não tão satisfatórias? Irão exercer pressão no sentido do “direito à encriptação” - como se afirma no documento da coligação? Irá defender o direito à privacidade de todos os cidadãos europeus?
Embora as perguntas vazadas sejam um sinal muito bom, não devemos sentar-nos e esperar como as coisas evoluem.
Em vez disso, precisamos de agir agora e dizer aos políticos que o nosso direito à privacidade é importante.
- **Se vive na Alemanha, assine a petição da Campact**para combater o projecto da Comissão Europeia que levaria a uma vigilância em massa sem precedentes na Europa.
- **Se vive na Áustria, assine a petição de #aufstehn**para combater o projecto da Comissão da UE que levaria a uma vigilância em massa sem precedentes na Europa.
- **Envie os seus comentários**à Comissão Europeia e partilhe as suas preocupações com este projecto de lei.
- **Verifique aqui**como pode juntar-se ao protesto, bem como telefonar e enviar um e-mail aos seus representantes.
Juntos devemos combater a vigilância de massas!
Documento com fuga de informação
Data: 10.06.2022 De: Documento do governo alemão: 206/2022
Perguntas alemãs sobre a proposta de regulamento do Parlamento Europeu e do Conselho que estabelece regras para prevenir e combater o abuso sexual de crianças
A RGE agradece à COM a iniciativa e congratula-se com o esforço da COM para prevenir e combater o abuso sexual de crianças. Este é também um objectivo do tratado de coligação. O projecto de regulamento da CSA é um passo importante para combater o abuso sexual de crianças no espaço digital a nível europeu e alcançar uma melhor protecção para as crianças.
Uma legislação comum que inclua a avaliação de riscos, a atenuação de riscos, a comunicação de riscos, uma base jurídica clara e um novo Centro Europeu pode ajudar a reforçar a prevenção e a repressão do abuso sexual de crianças em toda a UE - reconhecendo ao mesmo tempo as estruturas existentes de serviços de comunicação de conteúdos.
A confidencialidade das comunicações é um bem importante nas nossas sociedades liberais que deve ser protegido. Com base na Carta dos Direitos Fundamentais, todos têm o direito ao respeito pela sua vida privada e familiar, pelo seu lar e pelas comunicações. Todas as medidas regulamentares devem ser proporcionadas, não devem ir além do necessário para prevenir o abuso sexual de crianças no espaço digital, e devem equilibrar eficazmente os interesses conflituosos de proteger as crianças de abusos, por um lado, e de proteger a privacidade, por outro.
Os RIC contribuirão para encontrar formas claras, adequadas e permanentes de medidas que ajudem a reforçar a prevenção e a repressão do abuso sexual de crianças em toda a UE. De acordo com o tratado da coligação RIC sobre o sigilo das comunicações, um elevado nível de protecção de dados, um elevado nível de Ciber-segurança, bem como uma criptografia universal de extremo a extremo, é essencial para os RIC. O tratado da coligação RIC opõe-se a medidas gerais de controlo e medidas para a digitalização de comunicações privadas. O RIC está a rever o projecto de proposta à luz do tratado da coligação. Para os RIC é importante que a regulamentação que luta contra e previne a divulgação de material sobre abuso sexual de crianças esteja em conformidade com as nossas normas constitucionais de protecção das comunicações privadas e confidenciais.
Relativamente à criação de um Centro da UE, a estratégia da UE tinha em mente uma abordagem bastante abrangente, abordando a prevenção tanto online como offline. A actual proposta parece apoiar principalmente as actividades de aplicação da lei, embora não tenha um mandato explícito para medidas de prevenção off-line. Do nosso ponto de vista, o Centro da UE deveria adicionalmente ser um centro para medidas de sensibilização e apoio a redes (incluindo redes de sobreviventes de abuso sexual de crianças). Estamos convencidos de que o Centro da UE deveria concentrar-se em particular na prevenção de CSA em linha. No entanto, no âmbito da sua competência, deve também concentrar-se na CSA offline, quando os delitos online estão associados à violência offline. Além disso, o RIC aconselha a implementação de uma estrutura igualitária de participação activa das pessoas afectadas pela CSA, desde o início, na concepção do Centro da UE. O Centro da UE visa prestar apoio às pessoas afectadas pela CSA. Contudo, a actual proposta não fornece informações sobre a participação das pessoas afectadas pela CSA no Centro da UE.
Apesar destes comentários substantivos, estamos ainda a examinar a actual proposta de estabelecer o Centro da UE como uma agência independente.
A nossa reserva de análise inclui também, mas não só, a concepção organizacional de um novo Centro Europeu, Artigo 4, e - muito geralmente - o equilíbrio entre os direitos fundamentais, especialmente no que diz respeito à confidencialidade da comunicação e à encriptação de ponta a ponta.
A RGE acolheria de bom grado a possibilidade de realizar workshops de peritos técnicos juntamente com a LEWP. Os seminários técnicos dariam à EM a oportunidade de aprender mais sobre as tecnologias em jogo relativamente às ordens de detecção e ajudariam a melhorar um entendimento comum dentro da EM.
Estamos a rever intensivamente o projecto de regulamento e iremos comentar mais aprofundadamente o mesmo. Neste momento, a RGE tem numerosas questões. Gostaríamos de agradecer à Presidência e à COM pela oportunidade de transmitir as nossas perguntas e observações iniciais.
A RGE pede gentilmente esclarecimentos sobre as seguintes questões. Neste ponto, a prioridade dos RIC reside nas seguintes perguntas:
- Como é que o RIC da UE apoia a prevenção do abuso sexual de crianças offline? Para além do direito à informação e eliminação da CSAM - que medidas de apoio estão previstas para as vítimas e sobreviventes de abuso sexual de crianças?
- Poderá a COM dar exemplos de possíveis medidas de mitigação relativamente à divulgação do CSAM, bem como de aliciamento, que sejam adequadas para prevenir uma ordem de detecção?
- Poderia a COM explicar, por favor, como deve ser concebida a verificação da idade por parte dos fornecedores, respectivamente, das App Stores? Que tipo de informação deve ser fornecida por um utilizador? No que respeita ao aliciamento, a sua proposta visa especificamente a comunicação com um utilizador infantil. A identificação de uma criança utilizadora deve ser realizada apenas através da verificação da idade? Se tiver sido detectado um risco, os fornecedores serão obrigados a implantar o registo de utilizador e a verificação da idade? Haverá também uma verificação para identificar utilizadores adultos que utilizem indevidamente aplicações concebidas para crianças?
- A COM partilha da opinião de que o considerando 26, que indica que a utilização da tecnologia de cifragem de extremo a extremo é um instrumento importante para garantir a segurança e a confidencialidade das comunicações dos utilizadores, significa que as tecnologias utilizadas para detectar o abuso de crianças não devem prejudicar a cifragem de extremo a extremo?
- Poderá a COM descrever em pormenor a tecnologia que não quebra a encriptação de extremo a extremo, proteger o equipamento terminal e que ainda pode detectar CSAM? Existem limites técnicos ou legais (existentes ou futuros) para a utilização de tecnologias para detectar o abuso sexual de crianças em linha?
- Que tipo de medidas (tecnológicas) considera a COM necessária para os fornecedores de serviços de alojamento e os fornecedores de comunicação interpessoal no decurso da avaliação dos riscos? Especialmente como pode um prestador realizar uma avaliação de risco sem aplicar a tecnologia referida nos artigos 7º e 10º? Como podem estes prestadores cumprir a obrigação se o seu serviço é encriptado de ponta a ponta?
- Qual o grau de maturidade das tecnologias de ponta para evitar falsos acertos positivos? Que proporção de acertos falsos positivos pode ser esperada quando são utilizadas tecnologias para detectar aliciamento? A fim de reduzir os falsos acertos positivos, a COM considera necessário estipular que os acertos só sejam divulgados se o método cumprir determinados parâmetros (por exemplo, uma probabilidade de acerto de 99,9% de que o conteúdo em questão seja apropriado)?
- A proposta estabelece uma base jurídica para o tratamento de dados pessoais para os fornecedores no contexto de uma ordem de detecção na acepção do artigo 6 GDPR? A proposta estabelece uma base jurídica para o tratamento de dados pessoais para o Centro da UE no contexto de uma ordem de detecção na acepção do Regulamento 2018/1725?
Além disso, gostaríamos já de levantar as seguintes questões:
Avaliação dos riscos e atenuação dos riscos:
-
A COM pode especificar as “amostras de dados” relevantes e o alcance prático das obrigações de avaliação de risco? Especialmente diferenciando entre fornecedores de serviços de alojamento e fornecedores de serviços de comunicações interpessoais.
-
A COM pode confirmar que os fornecedores continuam a poder (legalmente) efectuar uma pesquisa voluntária de CSAM? Existem planos para alargar o regulamento provisório, que permite aos fornecedores a pesquisa de CSAM?
-
Em Art. 3 par. 2 (e) ii a proposta descreve as características típicas das plataformas de comunicação social. Pode a COM descrever cenários em que, para essas plataformas, uma análise de risco não tenha um resultado positivo?
Em relação às ordens de detecção:
-
O considerando 23 afirma que as ordens de detecção devem - se possível - ser limitadas a uma parte identificável do serviço, por exemplo, a utilizadores ou grupos de utilizadores específicos. Poderá a COM esclarecer como devem ser identificados utilizadores/grupos de utilizadores específicos e em que cenários deve ser emitida uma ordem de detecção apenas dirigida a um utilizador/grupos de utilizadores específicos?
-
Os requisitos estabelecidos no nº 5 / nº 6 / nº 7 do artigo 7º devem ser entendidos cumulativamente?
-
Pode a COM esclarecer “provas de um risco significativo”? É suficiente que haja mais utilizadores infantis nas plataformas e que estes comuniquem na medida descrita no artigo 3 ?
-
Quão detalhada é a ordem de detecção especifica a medida técnica exigida ao fornecedor?
-
A COM pode esclarecer sobre os requisitos dos pontos 5b, 6a, 7b - que norma de revisão é aplicada? Como pode a probabilidade na Arte. 7 par 7 (b) ser medida? O princípio em dubio pro reo aplica-se em favor do serviço de alojamento?
-
Como são ponderadas as razões para emitir a ordem de identificação contra os direitos e interesses legítimos de todas as partes envolvidas nos termos do artigo 7(4)(b)? Baseia-se numa medida concreta ou abstracta?
-
A COM já recebeu feedback dos prestadores, especialmente em relação ao artigo 7 ? Em caso afirmativo, pode, por favor, elaborar o feedback geral?
-
Em que medida concreta é que a ordem de identificação especifica a medida exigida ao prestador? O que se segue a este respeito do artigo 7(8) (“visa e especifica [a ordem de detecção]”), e do artigo 10(2) (“O prestador não é obrigado a utilizar qualquer tecnologia específica”)?
-
Na página 10 da proposta diz “As obrigações de detectar o abuso sexual de crianças em linha são preferíveis à dependência de acções voluntárias por parte dos provedores, não só porque essas acções até à data se têm revelado insuficientes para combater eficazmente o abuso sexual de crianças em linha (…)“. Quais são as provas de COM que provam que estas opções voluntárias são insuficientes?
-
Como é que o projecto de regulamento se relaciona com os direitos das pessoas em causa ao abrigo da Arte. 12 e seguintes do GDPR, em particular o artigo 22 do GDPR?
-
No que diz respeito às autoridades de controlo da protecção de dados, tarefas existentes ao abrigo da GDPR e outros actos europeus existentes ou actualmente negociados (como a DSA), como se pode alcançar um controlo efectivo das ordens de identificação?
-
Será que “todas as partes afectadas” no Art. 9 incluem os utilizadores que divulgaram CSAM ou solicitaram crianças mas que, apesar disso, foram controlados?
Tecnologias
-
Que tecnologias podem ser utilizadas em princípio? O Microsoft Photo ID cumpre os requisitos?
-
As tecnologias utilizadas em relação aos serviços na nuvem também devem permitir o acesso a conteúdos encriptados?
-
Como é garantida ou validada a qualidade das tecnologias? Como é que a proposta CSA se relaciona com o projecto AI-Act?
-
Como deve ser avaliada a equivalência das próprias tecnologias dos fornecedores nos termos do nº 2 do artigo 10º e como é que isto se relaciona com a capacidade dos fornecedores para invocar segredos comerciais?
-
Pode a tecnologia ser concebida para diferenciar entre fotografias de crianças num ambiente normal/ não abusivo (por exemplo, na praia) e CSAM?
-
Pode o software de análise de texto diferenciar uma conversa legítima entre adultos (pais, parentes, professores, treinadores desportivos, amigos, etc.) e crianças de uma situação de aliciamento?
-
Como pretende garantir que os fornecedores utilizam exclusivamente a tecnologia - especialmente a oferecida pelo Centro da UE - para executar a ordem de detecção?
-
Como trataríamos de um erro? Como devem ser detectados eventuais casos de utilização indevida?
-
Poderia desenvolver a supervisão humana e como esta pode evitar erros através das tecnologias utilizadas?
-
Como espera que os fornecedores informem os utilizadores sobre “o impacto na confidencialidade da comunicação dos utilizadores”? É um dever devido à emissão de uma ordem de detecção? Ou pode ser uma parte dos termos e condições?
-
Os fornecedores de ficheiros/imagens, que não têm acesso ao conteúdo que armazenam, são abrangidos pelo âmbito de aplicação do Regulamento?
Outras obrigações do fornecedor
-
Como é que as obrigações de apresentação de relatórios ao abrigo desta proposta se relacionam com os actuais relatórios NCMEC? Como podem os dois processos ser racionalizados da melhor forma? Como pode ser assegurado que não há duplicação de relatórios nem perda de relatórios?
-
Que papel deve desempenhar a Autoridade Coordenadora relativamente à obrigação de apresentação de relatórios?
-
Em relação a uma supressão da CSAM à escala da UE, como é que a COM lida com as diferenças nacionais em matéria de direito penal?
-
Qual o número de casos que a COM espera para os relatórios à CSA da UE? Quantos casos serão encaminhados para as autoridades nacionais competentes em matéria de aplicação da lei e/ou Europol?
-
O direito a uma reparação eficaz será afectado pela obrigação prevista na arte. 14 de executar uma ordem de afastamento no prazo de 24 horas?
-
Em que momento se pode presumir que o conhecimento do conteúdo foi obtido pelo fornecedor, é necessário o conhecimento humano?
-
Que padrão de revisão assume a COM em relação aos vários “actores” da cadeia de informação no processo de emissão de uma ordem? Isto inclui a exigência de uma avaliação/auditoria humana em cada caso?
-
Porque deve a Europol ser envolvida em todos os casos, ou seja, não só em casos de responsabilidade pouco clara dos EM?
-
Como é que as ordens de bloqueio podem ser limitadas na prática a conteúdos ou áreas específicas de um serviço, ou só pode ser bloqueado o acesso ao serviço no seu todo?
-
Os serviços em nuvem têm de bloquear o acesso a conteúdos encriptados se receberem um relatório de actividade suspeito sobre utilizadores específicos?
Sanções
-
Porque escolheu uma latitude de julgamento em matéria de sanções?
-
Será que a Arte. 35 aplica-se a casos de utilização indevida de tecnologia ou à omissão de estabelecer medidas eficazes para prevenir tal utilização indevida (Art. 10, n.º 4)?
-
Porque é que a proposta não segue as sanções estabelecidas no Regulamento TCO?
-
Poderia o n.º 2 do artigo 35 limitar-se a violações de uma obrigação central ou a um pequeno número de obrigações centrais?
Sistemas de partilha de informação
-
O artigo 39 (2) não prevê que as autoridades nacionais responsáveis pela aplicação da lei estejam directamente ligadas aos sistemas de intercâmbio de informações. De que forma serão os relatórios transmitidos às autoridades nacionais de aplicação da lei?
-
O que é que o sistema de troca de informações deve abranger? Como podem a eficácia e a protecção de dados ser mais equilibradas?
-
Apenas a CSA da UE e a Europol terão acesso directo à base de dados de indicadores (art 46(5)), como podem as ALE nacionais/autoridades nacionais de coordenação participar melhor nas informações? A COM considera necessária uma nova interface, a fim de informar as autoridades nacionais de que poderão estar disponíveis mais informações?
CSA e Europol da UE
-
No que diz respeito à cooperação proposta do Centro da UE com a Europol, como prevê a Comissão a distribuição de tarefas entre as duas entidades em termos concretos, a fim de assegurar que se evite qualquer duplicação de esforços?
-
Tomámos nota de que a avaliação de impacto da Comissão não analisa mais a possibilidade de integrar as tarefas de prevenção e apoio às vítimas na FRA e as tarefas com relevância para a aplicação da lei na Europol, em vez de criar uma nova entidade. Pelo contrário, parece que esta possibilidade é descartada após um exame preliminar. Gostaríamos, portanto, de saber por que razão esta opção não foi examinada mais aprofundadamente em primeiro lugar? Além disso, pedimos gentilmente à COM que explique as vantagens que espera da criação de uma nova entidade em vez de atribuir as tarefas à FRA e à Europol em combinação?
-
A proposta legislativa prevê que a Europol preste determinados “serviços de apoio” à CSA da UE. Quais são os meios e serviços concretos a que a CSA da UE deve recorrer na Europol? Como podem essas tarefas de apoio ser demarcadas das tarefas da CSA da UE? Nesse contexto, gostaríamos de perguntar se e, em caso afirmativo, quantos recursos adicionais a COM estima para a Europol?
-
Como deve a Europol gerir este apoio em termos de recursos e como é que a COM assegura que esse apoio não se fará à custa das outras tarefas da Europol?
-
Qual a melhor forma de racionalizar a estrutura de governação proposta para a CSA da UE com a estrutura de governação da Europol, assegurando que não se crie um desequilíbrio entre a Comissão e os Estados Membros?
-
O artigo 53(2) do projecto trata do acesso mútuo à informação relevante e aos sistemas de informação em relação à Europol. Estamos certos ao assumir que a disposição não regula o acesso à informação enquanto tal, porque é feita referência às disposições relevantes (“em conformidade com os actos de direito da União que regulamentam esse acesso”)? Qual é então o conteúdo regulamentar específico da disposição? Explique, por favor.
-
Para que período a COM estima que a CSA da UE pode iniciar o seu trabalho (embora talvez ainda não esteja plenamente operacional)?
-
Em que fase do processo são eliminadas as imagens de acordo com a proposta?
-
Nos termos do artigo 64(4)(h), o Director Executivo da CSA da UE a ser estabelecida pode impor sanções financeiras se houver actos criminosos prejudiciais aos recursos financeiros da União. Como é que isto se relaciona com os procedimentos da EPPO?
-
Como pode a proposta garantir que as competências da CSA da UE não colidem com as competências da Eurojust?