Voltar ao site principal
Voltar ao site principal

      Spyware

      Módulo 4: Vigilância de jornalistas, buscas e apreensões de dispositivos digitais

      A vigilância direcionada descreve a vigilância que se concentra na obtenção de informações sobre as comunicações de um indivíduo específico, como uma pessoa que já é suspeita em um caso criminal.1Um exemplo notório é o uso de spyware, um tipo de software malicioso que "interfere no funcionamento normal de um dispositivo para coletar informações sem alertar o usuário".2)

      O tipo de spyware mais intrusivo atualmente conhecido pelo público é o Pegasus, fabricado pela empresa israelense de cibersegurança NSO Group e vendido exclusivamente a governos. Em 2021, o Organised Crime and Corruption Project (OCCPR) publicou um relatório que descrevia o uso do spyware Pegasus contra jornalistas, defensores dos direitos humanos, ativistas e figuras políticas em todo o mundo.

      O spyware Pegasus pode ser instalado secretamente no dispositivo de um indivíduo, geralmente seu celular. Uma vez instalado, o spyware transforma o dispositivo em uma ferramenta de vigilância permanente, concedendo acesso irrestrito aos dados armazenados, bem como à câmera, microfone, mensagens, fotos, senhas, chamadas e geolocalização do dispositivo.

      Os métodos de implantação em um dispositivo incluem o clique em um link malicioso pelo usuário ou o uso de um transmissor sem fio próximo ao telefone. No entanto, uma das revelações mais preocupantes sobre o spyware Pegasus é sua capacidade de infectar um dispositivo através do chamado método "zero clique", que não requer nenhuma ação do usuário nem qualquer "desbloqueio" do sistema.

      Uma vez que um dispositivo é infectado, é extremamente difícil detectar o spyware, bem como suas ações, por exemplo, se houve extração de dados.

      1. Padrões internacionais

      Diversos organismos internacionais expressaram séria preocupação com o uso de spyware, incluindo o Comitê de Direitos Humanos da ONU.3Conforme salientado pelo ACNUDH (Alto Comissariado das Nações Unidas para os Direitos Humanos), o desenvolvimento e a utilização de ferramentas de vigilância generalizadas são “profundamente alarmantes”, ameaçando o Estado de Direito e corroendo as democracias pluralistas.4)

      O uso desse spyware para atacar jornalistas, defensores dos direitos humanos e outras pessoas constitui uma grave violação do direito à privacidade (Artigo 17 do Pacto Internacional dos Direitos Civis e Políticos).5)que, em particular quando realizadas por razões políticas, nunca podem ser justificadas.(6)

      Além disso, o uso do spyware Pegasus viola a liberdade de expressão, protegida internacionalmente pelo Artigo 19 do Pacto Internacional sobre Direitos Civis e Políticos (PIDCP). Infectar um dispositivo de comunicação pessoal com spyware permite "obter informações sobre os processos de pensamento dos indivíduos sujeitos à invasão, bem como sobre suas visões e crenças políticas e religiosas".7Isso é especialmente verdadeiro no contexto jornalístico, uma vez que a proteção das fontes jornalísticas é burlada e a mera existência de spyware cria um efeito inibidor.8)

      1. Normas regionais: UE

      Na UE, as medidas de vigilância direcionada – com exceção das medidas de segurança nacional excluídas do seu âmbito de aplicação pelo artigo 4.º, n.º 2, do TUE – devem cumprir o direito primário e secundário aplicável da União, em particular a Carta da UE, a Diretiva ePrivacy e a Diretiva relativa à aplicação da lei.9O artigo 52.º, n.º 1, da Carta da UE exige que todos os atos que limitem os direitos fundamentais estejam em conformidade com os requisitos da proporcionalidade e da necessidade.10)

      Devido à qualidade e quantidade de dados armazenados em smartphones, o Supervisor de Proteção de Dados da UE considera "altamente improvável que spyware como o Pegasus, que concede acesso irrestrito a dados pessoais, incluindo dados sensíveis, possa atender aos requisitos de proporcionalidade", visto que "a interferência no direito à privacidade é tão grave que o indivíduo é efetivamente privado dele" e que a proteção de terceiros e daqueles que recebem proteção especial, como advogados, não é garantida.11)

      Em uma abordagem semelhante, o Parlamento Europeu condenou “o uso de spyware por governos dos Estados-Membros e membros de autoridades governamentais ou instituições estatais com o objetivo de monitorar, chantagear, intimidar, manipular e desacreditar membros da oposição, críticos e a sociedade civil, eliminando o escrutínio democrático e a liberdade de imprensa, manipulando eleições e minando o Estado de Direito ao visar juízes, procuradores e advogados para fins políticos”.12)

      1. Padrões regionais: CoE

      Em 23 de outubro de 2023, a Assembleia Parlamentar do Conselho da Europa emitiu uma resolução expressando sua profunda preocupação com as “crescentes evidências de que o Pegasus e softwares espiões semelhantes foram usados ​​ilegalmente ou para fins ilegítimos por vários Estados-membros, inclusive contra jornalistas, opositores políticos, defensores dos direitos humanos e advogados” e condenou seu uso para fins políticos.13)

      Mesmo antes das revelações sobre o caráter intrusivo do spyware Pegasus, a Grande Câmara do Tribunal Europeu dos Direitos Humanos reconheceu que, diante do rápido avanço tecnológico, a legislação nacional deve ser suficientemente clara “para dar aos cidadãos uma indicação adequada das circunstâncias e das condições em que as autoridades públicas estão autorizadas a recorrer a tais medidas”.14)

      O Tribunal Europeu dos Direitos Humanos ainda não proferiu sua primeira sentença em um caso relacionado ao uso do spyware Pegasus. No entanto, sua jurisprudência oferece algumas pistas sobre como aborda essas questões.

      A utilização de spyware intrusivo contra jornalistas atinge o cerne do seu direito à vida privada e familiar (artigo 8.º da CEDH), bem como à sua liberdade de expressão (artigo 10.º da CEDH), uma vez que dá acesso a uma série de informações e correspondência sensíveis e cria um efeito inibidor para aqueles que contribuem para o debate público. A sua utilização não cumpre as condições do chamado teste de três partes, em particular os requisitos da necessidade e da proporcionalidade. Por último, o spyware Pegasus contorna a proteção das fontes jornalísticas, sem a qual, como salientado pelo Tribunal Europeu dos Direitos Humanos, as fontes podem ser dissuadidas de falar com a imprensa, que, por sua vez, não pode cumprir o seu papel de fiscalizadora pública.15)

      Litigando casos de spyware: Status da vítima

      Ao contrário dos casos relacionados à legislação sobre vigilância em massa, os indivíduos alvos de spyware, como o Pegasus, geralmente são informados por especialistas técnicos, pelo fabricante de seus dispositivos ou por organizações da sociedade civil de que foram especificamente visados ​​e que seus dispositivos foram infectados. No entanto, eles frequentemente enfrentam outros obstáculos ao litigar seus casos, já que a maior parte das informações sobre a invasão permanece exclusivamente no domínio do Estado atacante. Essas dificuldades incluem, mas não se limitam a:

      • Cumprir o ônus da prova exigido pelo tribunal ao qual estão recorrendo;
      • Dificuldades em obter provas técnicas detalhadas de que a invasão ocorreu;
      • Fornecer detalhes sobre a data e duração da infecção, os dados acessados/extraídos e o objetivo da medida;
      • Identificar o estado atacante.  
      Baixar módulo

      Notas de rodapé

      1. Nóra Ní Loideáin, Bulk Surveillance: Europe's Recent Landmark Judgments (5 de julho de 2021), (acessível em https://digitalfreedomfund.org/bulk-surveillance-europes-recent-landmark-judgements/). Voltar
      2. Anistia Internacional, O que é spyware e o que você pode fazer para se proteger? (14 de dezembro de 2023), (acessível em https://www.amnesty.org/en/latest/campaigns/2023/12/what-is-spyware-and-what-you-can-do-to-stay-protected/#:~:text=Spyware is a type of,to a device by default). Voltar
      3. CDH, Observações finais sobre o sétimo relatório periódico da Alemanha (30 de novembro de 2021), CCPR/C/DEU/CO/7, parágrafos 42-43, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G21/357/46/PDF/G2135746.pdf?OpenElement); HRC, Observações finais sobre o quinto relatório periódico dos Países Baixos (22 de agosto de 2019), CCPR/C/NLD/CO/5, parágrafos 54-55, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G19/249/80/PDF/G1924980.pdf?OpenElement); HRC, Observações finais sobre o sexto relatório periódico da Itália (1 de maio de 2017), CCPR/C/ITA/CO/6, parágrafos 36-37. Voltar
      4. Conselho de Direitos Humanos da ONU, O direito à privacidade na era digital. Relatório do Escritório do Alto Comissariado das Nações Unidas para os Direitos Humanos. (4 de agosto de 2022), A/HRC/51/17, parágrafo 54, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G22/442/29/PDF/G2244229.pdf?OpenElement). Voltar
      5. ibid. parágrafos 4-5 e 9, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G22/442/29/PDF/G2244229.pdf?OpenElement). Voltar
      6. ibid. paras 18-19. Voltar
      7. Ibid., parágrafo 9, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G22/442/29/PDF/G2244229.pdf?OpenElement); ver também Conselho de Direitos Humanos, Relatório do Relator Especial sobre a promoção e proteção do direito à liberdade de opinião e expressão, David Kaye (22 de maio de 2015), A/HRC/29/32, parágrafo 20, (acessível em https://documents-dds-ny.un.org/doc/UNDOC/GEN/G15/095/85/PDF/G1509585.pdf?OpenElement/). Voltar
      8. ibid. para 10. Voltar
      9. Ver: Supervisor Europeu da Proteção de Dados, Observações Preliminares sobre Spyware Moderno (15 de fevereiro de 2022), p. 6, (acessível em https://www.edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf). Voltar
      10. Ibid. p. 7. Voltar
      11. Supervisor Europeu da Proteção de Dados, Observações Preliminares sobre Spyware Moderno (15 de fevereiro de 2022), p. 8, (acessível em https://www.edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf). Voltar
      12. Parlamento Europeu, Investigação sobre a utilização do Pegasus e de spyware de vigilância equivalente (Recomendação) (15 de junho de 2023), n.º 3, (acessível em https://www.europarl.europa.eu/doceo/document/TA-9-2023-0244_EN.html). Voltar
      13. RITMO, Pegasus e spyware similar e vigilância secreta de Estado, Resolução 2513 (2023) (11 de outubro de 2023), (acessível em https://pace.coe.int/en/files/33116/html). Voltar
      14. Roman Zakharov contra a Rússia [GC], Apelação n.º 47143/06, §229, CEDH 2015. Voltar
      15. Ver, por exemplo, TEDH, Telegraaf Media Nederland Landelijke Media BV e outros c. Países Baixos, App n.º 39315/06, §127, 22 de novembro de 2012; TEDH, Sedletska c. Ucrânia, App n.º 42634/18, §§54-55, 1 de abril de 2021. Voltar