Privacidade e proteção de dados e vigilância – América Latina

Privacidade e proteção de dados e vigilância

• O direito à privacidade é importante para o aumento do fluxo de dados e a necessidade concomitante de proteger as informações pessoais, em um mundo onde cada vez que as interações digitais fazem parte do dia a dia. 

• No contexto interamericano, existem diferentes instrumentos que fortalecem a proteção de dados, como a Convenção Americana sobre Direitos Humanos e pela Declaração Americana dos Direitos e Deberes do Homem.

• É importante que os Estados garantam que sua legislação nacional detalhe os princípios para o processamento legal de informações pessoais e que se mantenham durante o dia com os projetos de proteção de dados.

• Junto com a proteção de dados estão os conceitos de “direito ao esquecimento”, criptografia e vigilância estatal.

• A utilização cada vez mais prevalente de tecnologias baseadas na coleta de dados biométricos, onde se destaca o reconhecimento facial, planta um desafio exclusivo para a privacidade e a liberdade de expressão. Neste módulo serão revisados ​​estes e outros problemas.

• Em particular, a divulgação de fontes periódicas, além da intrusão na privacidade, como resultado da vigilância estatal, tem um impacto negativo na liberdade de expressão e na liberdade periódica.

• A evolução das tecnologias de informação e comunicação apresenta desafios para a proteção da liberdade de expressão, e os esforços para legislar e definir judicialmente vários conceitos são revisados ​​​​de um nível adicional de dificuldade para a naturalidade transfronteiriça dos espaços digitais. Se destaca a falta de uma normativa global de regulamentação para estes espaços, embora existam espaços bem encaminados.

Introdução

O direito à privacidade e a exigência concomitante de proteção da informação pessoal atraíram uma atenção significativa na era da informação. Se, mesmo na Internet, a troca de informações on-line e a coleta de dados aumentarem de maneira exponencial, os desenvolvimentos legislativos não terão logrado manter esse ritmo e proteger adequadamente as informações pessoais. Sem embargo, com o tempo, os Estados americanos e os organismos regionais começaram a adotar instrumentos e regulamentos relacionados à proteção de dados com a intenção de remediar e reivindicar o direito à privacidade de seus cidadãos.

O impacto da tecnologia sobre a privacidade e os dados é evidente na medida em que as comunicações são realizadas com o apoio deste. Além disso, as novas tecnologias também criam a possibilidade de localização e rastreamento de dados pessoais, algo que antes não era possível (IP, localização, huellas digitais, coockies, etc.) gerando novos desafios. A vigilância na Internet pode variar entre a documentação, o monitoramento de atividades ou comunicações, ou a interceptação de comunicações ou atividades on-line, individualizadas ou massivas.¹

O Sistema Interamericano de Direitos Humanos e o Universal reconhecem que as práticas de vigilância e a intercepção e recolha ilícita ou arbitrária de dados pessoais não apenas afectam o direito à privacidade e à liberdade de expressão, mas também podem ser contrários aos preceitos de uma sociedade democrática.²

Este módulo está centralizado na proteção de dados na América e nos conceitos relacionados ao direito à privacidade, habeas data, ao esquecimento e à vigilância.

I. El Direito à Privacidade

Há um reconhecimento cada vez maior de que o direito à privacidade desempenha um papel vital para facilitar o direito à liberdade de expressão. Por exemplo, a confiança no direito à privacidade permite que as pessoas compartilhem opiniões de maneira espontânea em esferas privadas. Inclusive, isso foi reforçado quando se fez de forma anônima em circunstâncias nas quais você pode ter sido censurado por essas opiniões. Isso permite a comunicação de jornalistas com denunciantes de boa fé, que desejam fazer divulgações protegidas e permite que os membros dos meios de comunicação e ativistas se comuniquem de forma segura no alcance da interceptação governamental ilegal.

O direito à intimidação foi reconhecido pela primeira vez no plano internacional na Declaração universal dos direitos humanos. Em seu artigo 12 é dito que "toda pessoa deve ser protegida contra injeções arbitrárias em sua vida privada, familiar, domicílio ou correspondência, assim como ataques contra sua honra e reputação. Toda pessoa tem direito à proteção da lei contra histórias de injerências ou ataques". Posteriormente, este direito foi reproduzido por outros instrumentos, contos como o Pacto Internacional sobre Direitos Civis e Políticos[]^, la Declaração Americana de Direitos e Deberes do Homem⁴ e pela Convenção Americana sobre Direitos Humanos⁵, entre outros. Além disso, quase todos os Estados americanos garantem isso derecho em suas constituições nacionais.

O artigo 11 da Convenção Americana exige que os Estados se abstenham de injerências ou interferências abusivas ou arbitrárias e evitem o terceiro. Para la Comisión Interamericana, “o direito à privacidade protege al menos quatro bens jurídicos, a saber: a) o direito de contar com uma esfera de cada indivíduo resistente às injerências arbitrárias do Estado ou de terceiras pessoas; b) o direito a governar por regras próprias de acordo com o projeto individual de vida de cada um; c) o derecho al secret respeito ao que é produzido neste espaço reservado com a proibição de divulgação ou circulação da informação capturada, sem consentimento do titular, neste espaço de proteção reservado à pessoa e) o direito à própria imagem”.⁶ Além disso, deve superar o teste de legalidade, proporcionalidade e necessidade estabelecido pela própria Convenção e reafirmado pela Corte.⁷

A Convenção Americana proíbe injúrias ou ataques abusivos ou arbitrários por parte de terceiros ou por parte de autoridades públicas. A respeito, de acordo com a Corte Interamericana, "o direito à privacidade não é um direito absoluto e, por tanto, pode ser restringido pelos Estados. Isto, sempre que as injerências não sejam abusivas ou arbitrárias. Por isso, o limite a essas restrições deve ser: (i) estar previsto na lei; (ii) cumprir um fim legítima e (iii) cumprir os requisitos de idoneidade, necessidade e proporcionalidade, es decir, deben ser necesarias para uma sociedade democrática”⁸.

Por outro lado, no caso Fontevecchia y D'Amico x Argentina, a Corte IDH registrou que o umbral de privacidade é diferente de alguns fatores como a notoriedade social e pública da pessoa em questão. La Corte indicou que existem dois critérios relevantes a ter em conta quando se difunde informações particularmente privadas: “(a) o diferente guarda-chuva de proteção para os funcionários públicos, especialmente as eleições populares, para as figuras públicas e particulares, e (b) os interesses públicos nas ações empreendidas”⁹. Os diferentes limites de proteção a respeito dos funcionários públicos devem ser de caráter voluntário de sua exposição ao escrutínio social, o que implica que há menor probabilidade de lesão em relação à privacidade dos funcionários públicos quando há informações sobre assuntos relacionados ao exercício da função pública que ele desenvolve. No que diz respeito ao interesse público, a Corte manifestou que tem uma grande possibilidade de intromissão em relação à privacidade diante de assuntos em todos os quais a sociedade tem um interesse legítimo de ser informada. 

De maneira particular, no caso Escher e outros contra o Brasil, a Corte se referiu ao uso da tecnologia e à tensão com a privacidade, avisando que: 

"A fluidez informativa que existe hoje em dia, colocada no direito da vida privada das pessoas em uma situação de maior risco devido às novas ferramentas tecnológicas e sua utilização cada vez mais frequente. Este progresso, em especial quando se trata de interceptações e capturas telefônicas, não significa que as pessoas debanquem em uma situação de vulnerabilidade frente ao Estado ou aos particulares. De modo que o Estado deve assumir um compromisso, ainda mais, com o fim de se adequar aos tempos atuais, as fórmulas tradicionais de proteção do direito à vida privada.¹⁰

Nos casos Tristán Donoso x Panamá y Escher e outros contra o Brasil, a Corte Interamericana supõe que, apesar de não estar especificamente previsto no artigo 11, essas formas de comunicação são protegidas.¹¹Dicha proteção alcanza tanto para as comunicações pessoais como para os profissionais no entendimento de que a proteção da privacidade inclui o desenvolvimento de relacionamentos entre pessoas e precisamente a vida profissional de uma pessoa é que muitas vezes ele oferece maiores oportunidades para se relacionar com o mundo.¹²

II. Proteção de dados

Dado que o período consiste na coleta, transformação, armazenamento e difusão de informações de pessoas, é uma atividade que pode entrar em conflito com a proteção de dados pessoais. 

As leis de proteção de dados têm como objetivo proteger e salvaguardar o tratamento da informação pessoal. Isso geralmente se refere a qualquer informação relativa a uma pessoa identificada ou identificável. O assunto dos dados pode ser identificado por um ou mais fatores específicos de sua identidade física, física, mental, econômica, cultural ou social. O responsável pelo tratamento, que normalmente pode ser um organismo público ou privado, é referido à pessoa ou entidade responsável pelo tratamento das informações pessoais do interessado.

A proteção de dados é uma das medidas principais através dos quais se torna eficaz o direito à intimidação. Eles são vários Estados americanos que promulgaram leis de proteção de dados, e outros mais que estão em processo de fabricação. Igualmente, em novembro de 2024, três países da região são signatários do Convenio 108 do Conselho da Europa de 28 de janeiro de 1981 para a proteção das pessoas com respeito ao tratamento automatizado de dados de caráter pessoal. Além de tornar eficaz o direito à privacidade, a legislação de proteção de dados também desempenha um papel fundamental na hora de facilitar o comércio entre os Estados, já que muitas leis de proteção de dados restringem as transferências transfronteiriças de dados em circunstâncias naquele Estado que recebe a informação não fornece um nível adequado de proteção.

Em relação à proteção da informação pessoal, o Observação Geral nº 16 do Comité de Direitos Humanos das Nações Unidas sobre o artigo 17 do PIDCP estabelece o seguinte:

"A coleta e o registro de informações pessoais em computadores, bancos de dados e outros dispositivos, tanto pelas autoridades públicas como por particulares ou entidades privadas, devem ser regulamentados pela lei. Os Estados devem adotar medidas eficazes para velar para que a informação relativa à vida privada de uma pessoa não caiga em mãos de pessoas não autorizadas por lei para recebê-la, elaborá-la e empregá-la e para que nunca se a utilização de multas incompatíveis com o Pacto. Para que a proteção da vida privada seja mais eficaz possível, toda pessoa deve ter o direito de verificar se há dados pessoais armazenados em arquivos automáticos de dados e, em caso afirmativo, de obter informações inteligíveis sobre quais são esses dados e como eles foram armazenados, hoje. pessoa deve poder verificar quais autoridades públicas o que é particular para os organismos privados que você controla ou pode controlar esses arquivos. Se esses arquivos contiverem dados pessoais incorretos ou tiverem sido compilados ou elaborados em contravenção às disposições legais, toda pessoa deverá ter o direito de pedir sua retificação ou eliminação”¹³.

A maioria das leis de proteção de dados suelen contempla os seguintes princípios¹⁴:

• A informação pessoal deve ser tratada de forma legal e justa, e não deve ser utilizada a menos que se cumpram as condições estipuladas.

• As informações pessoais devem ser obtidas para um propósito específico e não devem ser utilizadas de forma alguma incompatível com esse propósito.

• Os dados pessoais devem ser adequados, pertinentes e não excessivos em relação à finalidade (ou específicas) para que sejam tratados.

• Os dados pessoais devem ser mantidos atualizados.

• As informações pessoais não devem ser conservadas durante o tempo mais necessário para a finalização de sua coleta.

• As informações pessoais deverão ser tratadas de acordo com os direitos dos interesses previstos nas respectivas leis de proteção de dados.

• Você deve adotar medidas técnicas e organizacionais adequadas contra o tratamento não autorizado ou ilegal de dados pessoais e contra a perda ou destruição acidental de dados pessoais, bem como contra sua deterioração.

• Os dados pessoais não devem ser transferidos para outro país que não garanta um nível adequado de proteção dos direitos e liberdade dos interessados ​​em relação ao tratamento da informação pessoal.

Além disso, existem alguns instrumentos regionais americanos que tratam da proteção de dados pessoais:

• Princípios de privacidade e proteção de dados pessoais nas Américas¹⁵: Em março de 2012, a Organização dos Estados Americanos (OEA) adotou a proposta de princípios elaborada pelo Comitê Jurídico Interamericano (CJI), para orientar os Estados Miembros a adotar medidas relativas à privacidade e aos dados pessoais, para que esses Estados adotassem leis congruentes com todos os estabelecidos. Em abril de 2021, o CJI aprovou atualização dos princípios sobre a privacidade e proteção de dados pessoais com anotações.

• Padrões de proteção de dados pessoais para os Estados Iberoamericanos¹⁶: Esses padrões incluem temas relacionados ao exercício da privacidade, ao direito à desindexação, ao uso de tecnologias de vigilância e ao uso de big data.

• Guia legislativo sobre privacidade e proteção de dados pessoais nas Américas¹⁷: No ano de 2013, a Assembleia Geral da OEA solicitou ao Comité Jurídico Interamericano (CJI) formular propostas sobre as diferentes formas de regular a proteção de dados pessoais. Assim, em 2015, foi adotado um guia legislativo que ampliou e explicou os princípios adotados em 2012, o qual sirve como hoja de rota para apoiar os exércitos dos Estados Miembros no momento de implementar ou atualizar sua normatividade sobre a matéria.

Além de tornar eficaz o direito ao intimidado, as leis de proteção de dados também provavelmente facilitam o direito de acesso à informação. A este respeito, a maioria das leis de proteção de dados previu que os interessados ​​solicitassem e obtiveram acesso à informação de que o responsável pelo tratamento tem sobre eles. Este mecanismo pode permitir que os interessados ​​​​comprovem se suas informações pessoais estão processando de acordo com as leis de proteção de dados aplicáveis ​​​​e se estão respeitando seus direitos.

À medida que o mundo se move on-line, a proteção de dados é cada vez mais necessária. No contexto americano houve alguns avanços. O Chile foi o primeiro país da América Latina que adotou uma lei de proteção de dados em 1999, seguida pela Argentina em 2000. Vários países seguiram este exemplo, como Uruguai e México. Peru, Colômbia, Brasil, Barbados e Panamá¹⁸. Algumas legislações estabelecem exceções sobre a aplicação destas normas sobre bases de dados e arquivos periódicos ou que são necessárias para o exercício da liberdade de expressão.¹⁹

III. Reclamações pelo “direito ao esquecimento”

Ámbito internacional

O chamado “derecho ao esquecimento” —que talvez seja descrito melhor como “derecho à supresión”— se refere ao direito para solicitar que os motores de busca comercial em outros sites da web que coletam informações pessoais com fins lucrativos, como o Google, eliminem os links para informações privadas quando solicitados com atenção a critérios específicos. O direito ao esquecimento deriva do direito dos interessados ​​​​que figuram em muitas leis de proteção de dados, dependendo de qualquer informação pessoal que se tenha sobre uma pessoa que deve ser emprestada em circunstâncias em que seja inadequada, irrelevante ou não pertinente, ou excessiva em relação às multas para aqueles que foram reconhecidos.

Em 2014, o Tribunal de Justiça da União Europeia ditou uma sentença importante no caso de Google Espanha x Costeja González²⁸. O senhor Costeja, de nacionalidade espanhola, apresentou uma pergunta em 2010 antes do regulador espanhol da informação. O motivo da pergunta era que, quando um usuário da Internet introduzia seu nome no motor de busca do Google, o usuário obtinha links para páginas do periódico espanhol de 1998 que se referiam a procedimentos de embargo contra ele para o cobro de determinadas dívidas. O Sr. Costeja solicitou que eliminassem ou ocultassem os dados pessoais relativos à sua pessoa, já que o procedimento contra ele foi resultado por completo e, por tanto, a referência à sua pessoa era totalmente irrelevante.

A Audiência Nacional Espanhola conheceu o caso a nível espanhol e, antes de decidir, apresentou uma petição prejudicial ao TJUE a respeito da aplicação da lei de proteção de dados da União Europeia vigente naquele momento no caso concreto. O Tribunal sinalizou que a visualização de informações pessoais em uma página de resultados de pesquisa constitui um tratamento de informações pessoais, pois quem não tinha nenhuma razão para que um motor de pesquisa não devesse estar sujeito às obrigações e garantias estabelecidas na lei. Além disso, foi sinalizado que o tratamento de informações pessoais realizado por um motor de busca pode afetar significativamente os direitos fundamentais para a intimidação e a proteção de dados pessoais quando você realiza uma busca do nome de uma pessoa, pois permite que qualquer usuário da Internet obtenha uma visão estruturada da informação relativa a essa pessoa e estabelecer um perfil da misma. Segundo o TJUE, o efeito da injerência “se destacou tendo em conta o importante papel que desempenha a Internet e os motores de busca na sociedade moderna, que fazem com que a informação contida nesta lista de resultados seja onipresente”²⁹.

Em relação à desindexação nos motores de busca, o TJUE sugeriu que a eliminação de links na lista de resultados dos buscadores poderia, dependendo da informação em questão, ter efeitos sobre os usuários da Internet potencialmente interessados ​​em ter acesso a essa informação³⁰. Isso exigiria um equilíbrio justo entre esses interesses e os direitos fundamentais do interesse, tendo em conta a naturalidade da informação, sua sensibilidade para a vida privada do interessado, e os interesses do público na disponibilização dessa informação, que podem variar dependendo do papel desempenhado pelo interesse na vida pública.

O TJUE também declarou que um interesse pode solicitar que a informação sobre o desejo de estar disponível para o público em geral mediante a inclusão em uma lista de resultados de pesquisa quando, tendo em conta todas as circunstâncias, a informação pode ser inadequada, irrelevante ou não pertinente, ou excessiva em relação às multas do tratamento levado ao cabo pela operadora do motor de busca. Em tais circunstâncias, as informações e os links em questão na lista de resultados devem estar borrados³¹.

Ámbito latino-americano

No relatório Padrões para uma Internet livre, aberta e incluída, a Relação Especial para a Liberdade de Expressão (RETRANSMISSÃO) menciona que, com base nas normas de proteção de dados pessoais na América Latina, foram registradas na região diversas solicitações de remoção e desindexação de conteúdo para administradores de motores de busca. No entanto, este conceito se expandiu muito mais, também é comum que se façam solicitações a jornais, blogs e periódicos para remover ou eliminar conteúdos, em vez de realizar solicitações de desindexação dos motores de busca³². Isso pode ter um efeito muito negativo para a liberdade de expressão, pois o direito ao esquecimento pode ser usado para cancelar informações de interesse público por meio de ações sustentadas no direito ao esquecimento. 

La RELE sinalizou em dito que o direito internacional dos direitos humanos não protege ou reconhece o direito ao esquecimento nos termos da sentença do TJUE no caso de Google Espanha v. Gonzalez: “Por outro lado, a Relatoria Especial estima que a aplicação nas Américas de um sistema de remoção e desindexação privada de conteúdo on-line com limites tão vagos e ambíguos resulta particularmente problemática à luz da ampla margem normativa de proteção da liberdade de expressão baseada no artigo 13 da Convenção Americana sobre Direitos Humanos.”³³

Além disso, a RELE indicou que os Estados que implementam legislações de direito no esquecimento devem fazer isso de forma excepcional, específica, clara e limitada para que exista um respeito à liberdade de expressão e acesso à informação no momento de proteger a privacidade e a dignidade das pessoas, além de brindar uma distinção entre informações e dados pessoais, assim como nos casos em que a ação não proceda, especialmente quando se trata de expressões sobre assuntos de interesse público.³⁴ Igualmente, a RELE motivou que as solicitações solicitadas por esta legislação se aplicassem apenas quando o solicitante demonstrasse a existência de um dano substancial à sua privacidade e dignidade através de uma ordem judicial no marco de um processo que respeita as garantias judiciais e que oferece a oportunidade para a defesa de todas as pessoas involucradas, incluindo quem realiza a expressão, o meio de comunicação ou o site afetado e os intermediários da Internet envolvidos.

No momento do reconhecimento deste conceito em instâncias nacionais, você pode realçar o caso de Colômbia. Neste país não se contempla o direito ao esquecimento nas legislações sobre dados pessoais. Sem embargo, a Corte Constitucional assentou jurisprudência sobre a matéria. Um caso emblemático ao respeito é Glória contra El Tiempo³⁵, onde a Corte Constitucional resolveu uma tutela de interposição contra o meio El Tiempo, por meio de qualquer cidadão que buscava que uma notificação de doce anos de antiguidade relacionada à sua vinculação em um processo penal por tratamento de pessoas não pudesse ser consultada on-line. O processo contra a população foi concluído por prescrição e a disponibilidade de sua notificação no Google afetou seus direitos, entre eles a busca por um emprego. Durante o trânsito da tutela, a Corte vinculou-se ao Google para que se pronunciasse sobre as questões do caso. A Corte determinou que neste caso não se aplicava a legislação de habeas data em razão da exceção de bases de dados periódicos que contemplam a legislação desse país sobre essa matéria. Em seu lugar, decidiu analisar o caso à luz dos direitos à honra, bom nome, dignidade humana e liberdade de informação por ter prerrogativas equiparáveis ​​ao protegido pelo direito de habeas data. Além disso, a Corte considerou que aplicar um sistema como o litígio na sentença do TJUE implica “um sacrifício desnecessário do princípio de neutralidade da Internet e, com ele, das liberdades de expressão e informação”. Nesta linha, o Google considerou que não tinha nenhum tipo de responsabilidade porque atuava como um intermediário. A Corte Constitucional considerou que a forma de garantir os direitos do demandante sem afetar gravemente os direitos do meio era permitir que a notificação fosse seguida on-line, mas ordenou que o meio atualizasse as informações publicadas e utilizasse uma ferramenta técnica para impedir que os buscadores identificassem a notícia escrevendo seu nome.

Por outro lado, no caso de Brasil, o Supremo Tribunal Federal (STF) concluiu no início de 2021 que o direito ao esquecimento é incompatível com o sistema constitucional brasileiro. Segundo o Tribunal, o passo do tempo não é uma restrição legítima à divulgação de conteúdo verídico, pois o que permite que o direito ao esquecimento signifique restrições de forma excessiva à liberdade de expressão:

"É incompatível com a Constituição Federal a ideia de um direito ao esquecimento, entendido como a faculdade de impedir, por el paso del tiempo, a divulgação de dados ou dados verificados e legalmente obtidos e publicados nos meios de comunicação social, analógicos ou digitais. Qualquer excesso ou abuso no exercício da liberdade de expressão e informação deve ser analisado caso por exemplo, com base nos parâmetros constitucionais, especialmente os relativos à proteção da honra, da imagem, da privacidade e da personalidade em geral, e das disposições legais expressas e específicas no âmbito penal e nos direitos civis”.³⁶.

No caso de Argentina, você reconhece legalmente que as pessoas precisam corrigir ou eliminar seus dados. Por exemplo, a Ley 25.326 dispõe que o termo de arquivo dos créditos anteriores de uma pessoa é de cinco anos e que este plazo diminui a dois anos quando os devedores pagam a obrigação³⁷. Por outro lado, em 2022, a Corte Suprema de Justiça da Nação Argentina revogou uma decisão da Câmara Nacional no Civil que havia aplicado o “direito ao esquecimento”³⁸ a favor de Natalia Denegri³⁹, uma atriz e produtora que havia exigido do Google a desindexação de uma série de artigos com mais de duas décadas de antiguidade que a vinculava ao “caso Coppola”, um famoso evento noticioso na Argentina relacionado ao allanamiento da residência das entradas representativas de Diego Maradona⁴⁰. A Sentença da Corte indicou que “[c]oncluir que por el mero passo del tiempo a noticia ou informação que formou parte de nosso debate público pierde esse atributo, coloca em sério risco a história como também o ejercicio da memória social que se nutre dos diferentes aspectos da cultura, mesmo quando o passado se nos reflete como inaceitável e ofensivo aos padrões da atualidade”.⁴¹

Limites de direito ao esquecimento

Existem limites no âmbito do direito ao esquecimento. Em 2017, o TJUE recebeu petição de decisão prejudicial no caso Camera di Commercio, Industria, Artiginato e Agricoltura di Lecce v. Salvatore Manni. O senhor Manni, com base na decisão de González, solicitou que a Câmara de Comércio emprestasse, anonimizasse ou bloqueasse quaisquer dados que o vinculassem à liquidação de suas empresas. O TJUE negou a estimativa da solicitação do senhor Manni e concluiu que, à luz da gama de possíveis usos legítimos dos dados nos registros de empresas e dos diferentes prazos de prescrição aplicáveis ​​aos seus registros, era impossível determinar um período máximo de conservação adequado. Em consequência, o TJUE negou a declaração da existência de um direito geral ao esquecimento dos registros públicos de empresas.

Além disso, no caso Google contra CNIL, o Corte de Justiça da União Europeia sustentou que “o direito ao esquecimento” não exige que um motor de busca elimine os resultados de todos os seus domínios. No entanto, é necessário eliminar todos os resultados da pesquisa em todos os Estados que pertencem à União Europeia⁴². Com esta decisão, restringiu o alcance territorial do direito ao esquecimento, o que significa que este “derecho” só se aplicaria nas fronteiras da União Europeia, restringindo a sua aplicação extraterritorial.

Nessa mesma decisão, igual à do caso de GC e outros v. Google, o TJUE afirmou que as tensões entre o direito de proteção de dados pessoais e a liberdade de expressão e informação devem ter um equilíbrio inspirado na jurisprudência do Tribunal Europeu de Direitos Humanos em casos de privação e liberdade de expressão. 

Além disso, a normativa atual a nível europeu com respeito ao direito ao esquecimento, o Regulamento Geral de Proteção de Dados, estabelecido em seu artigo 17.3.a que este não será aplicável nestes casos em que o tratamento de dados seja necessário para o exercício da liberdade de expressão ou com multas de arquivo de interesse público.

Além disso, outras jurisdições foram negadas para defender o direito esquecido diante dos motores de busca. Pt Brasil, por exemplo, significa que não é possível obrigar os motores de busca a excluir os resultados de busca relacionados aos termos ou expressões específicas. Asimismo, o Tribunal Supremo de Japão se negou a fazer valer o direito ao esquecimento diante do Google, ao considerar que a eliminação “só pode permitir que o valor da proteção contra os intimidados supere significativamente a divulgação da informação”.

De acordo com Princípios Globais sobre a Liberdade de Expressão e a Privacidade, este direito —na medida em que é reconhecido em uma jurisdição concreta— deve ser limitado ao direito das pessoas, em virtude da legislação sobre proteção de dados, solicitar aos motores de busca a supressão dos resultados de busca inexatos produzidos a partir de uma busca de seu nome, e deve ser limitado ao nome de domínio correspondente nos casos em que o indivíduo afetado tenha demonstrado um dano substancial. Afirmamos, além disso, que as solicitações de supressão da lista devem ser submetidas à resolução final de um tribunal ou de um órgão jurisdicional independente com experiência pertinente em matéria de liberdade de expressão e direito de proteção de dados.

4. Vigilância e Interferência com a Liberdade de Expressão

Vigilância estatal e interferência de direitos humanos

A vigilância das comunicações abarca o controle, a interceptação, a recopilação, a obtenção, a análise, o uso, a conservação, a retenção, a interferência, o acesso ou ações semelhantes levadas ao cabo com respeito à informação que inclui, reflete, surge ou se refere às comunicações de uma pessoa no passado, no presente o futuro⁴³. Isso se refere tanto ao conteúdo das comunicações quanto aos metadados. Em relação a estes últimos, foi sinalizado que a agregação de informações —comummente chamada de “metadados”— pode dar uma idéia de comportamento, relações sociais, preferências privadas e identidade de uma pessoa. Em seu conjunto, você pode permitir tirar conclusões muito precisas sobre a vida privada de uma pessoa.

La Observação Geral nº 16 do Comitê de Direitos Humanos estabelece que “a vigilância, por via eletrônica ou de outro tipo, a interceptação de comunicações telefônicas, telegráficas e de outro tipo, as escutas telefônicas e a captura de conversas devem ser proibidas”⁴⁴. La vigilancia —tanto a recopilação massiva de dados⁴⁵, como a coleta seletiva de dados - interfere diretamente na intimidação e na segurança necessária para a liberdade de opinião e de expressão, e deve ser avaliada por meio de um teste tripartido para avaliar a permissibilidade da restrição. Na era digital, os TIC aumentaram a capacidade dos governos, das empresas e dos particulares para levar a cabo a vigilância, a interceptação e a recompilação de dados, e concluíram que a eficácia na realização da dita vigilância não é limitada pela escala ou pela duração.

Em uma resolução adotada pela Assembleia Geral das Nações Unidas sobre o direito à intimidação na era digital, ela descobriu que a vigilância e/ou interceptação ilegal ou arbitrária das comunicações, assim como a coleta ilegal ou arbitragem de dados pessoais, são atos altamente intrusivos que violam o direito à intimidação, podem interferir no direito à liberdade de expressão e pode contradizer os princípios de uma sociedade democrática, mesmo quando se leva a cabo a uma escala masiva⁴⁶. Señaló además que a vigilância das comunicações digitais deve ser coerente com as obrigações internacionais em matéria de direitos humanos e deve ser levada a cabo sobre a base de um marco jurídico, que deve ser acessível ao público, clara, precisa, exaustiva e não discriminatória.

Para cumprir a condição de legalidade, muitos Estados tomaram medidas para reformar suas leis de vigilância com o objetivo de permitir os poderes necessários para levar a cabo essas atividades. De acordo com os princípios de necessidade e proporcionalidade, a vigilância das comunicações deve ser considerada um ato altamente intrusivo e, para cumprir o umbral de proporcionalidade, deve ser exigida ao Estado que, no mínimo, estabeleça as seguintes informações a uma autoridade judicial competente antes de levar a cabo qualquer vigilância das comunicações:

• Se existir um alto grau de probabilidade de que haja um crime ou se você cometer um crime grave ou uma ameaça específica contra um objetivo legítimo.

• Se você tiver usado outras técnicas menos invasivas que resultem inúteis, a técnica utilizada é a opção menos invasiva.

• A informação a que se acede limita-se ao que for relevante e material para o delito grave ou à ameaça específica a um objectivo legitimamente alegado.

• O excesso de informações coletadas não será conservado, mas será destruído ou devolvido rapidamente.

• O acesso às informações somente terá a autoridade especificada e será usado apenas para o propósito e a duração para aqueles que forem informados da autorização.

• As atividades de vigilância solicitadas e as técnicas propostas não atendem à essência do direito à intimidação ou às liberdades fundamentais.

A vigilância constitui uma injerência evidente no Direito à privacidade. Além disso, também constitui uma injerência no direito para manter opiniões sem interferências no direito à liberdade de expressão. Com referência especial ao direito de manter opiniões sem interferências, os sistemas de vigilância, tão seletivos quanto massivos, podem fazer com que o direito forme uma opinião, já que o meio da revelação involuntária da atividade on-line, como a busca e a navegação, provavelmente dissuadirá as pessoas de acessar a informação, especialmente quando sua vigilância conduz a resultados represivos.

Afetação diferenciada para a imprensa

A interferência com o direito à liberdade de expressão é particularmente evidente no contexto dos periodistas e membros dos meios de comunicação que podem ser algumas vezes a vigilância como resultado de suas atividades periódicas. Como foi sinalizado a Relatoria Especial de Nações Unidas de direito à liberdade de opinião e expressão, isso pode ter um efeito intermediário no exercício da liberdade dos meios de comunicação, e dificultar a comunicação com as fontes e o intercâmbio e desenvolvimento de ideias, o que pode levar à autocensura.⁴⁷ O uso da criptografia e de outras ferramentas semelhantes se tornou algo essencial para o trabalho dos jornalistas, a fim de garantir que seu trabalho possa ser realizado sem interferências.

A revelação das fontes periódicas e a vigilância podem ter consequências negativas para o direito à liberdade de expressão devido à violação da confidencialidade das comunicações de uma pessoa. Uma vez que a confidencialidade é violada, ela não pode ser restaurada. Por isso, é de suma importância que as medidas que promovem a confidencialidade não sejam tomadas de forma arbitrária.

A importância de proteção das fontes está bem establecida. Por exemplo, a Relatoria Especial para a Liberdade de Expressão do CIDH manifestou que a confidencialidade das fontes é um elemento essencial da jornalística trabalhista e do papel dos jornalistas para informar sobre questões de interesse público e registrar que estão em conformidade com o Princípio 8 da Declaração de Princípios sobre a Liberdade de Expressão do CIDH, “todo comunicador social tem direito a la reserva de suas fontes de informação, apuntes e arquivos pessoais e profissionais”. Nas palavras da Relatoria Especial:

"A importância do direito à confidencialidade das fontes reside em que, para provar ao público as informações necessárias para satisfazer seu direito de receber informações, os periódicos realizam um importante serviço ao público quando recuperam e difundem informações que não seriam divulgadas na reserva das fontes no estuviera protegida. A confidencialidade, por isso, é essencial para o trabalho de os periódicos e para o papel que se cumpre na sociedade de informar sobre assuntos de interesse público”⁴⁸.

Nesse sentido, as atividades de vigilância levadas a cabo contra os periodistas correm o risco de proteger fundamentalmente a proteção das fontes para o que os periodistas têm por direito. 

Por outro lado, o risco de vigilância e espionagem ao usar a Internet se refere à possibilidade de que terceiros acessam ilegalmente informações privadas dos usuários, como dados pessoais, comunicações e atividades on-line. Esses casos são por sua naturalidade difíceis de rastrear e comprometer o livre exercício da liberdade de expressão e, em particular, o periodismo.

Na maioria dos casos, os resultados são complicados, demonstrando a presença de programas de vigilância e, por isso, a responsabilidade das organizações que as aplicam. Isto se deve a que grande parte da vigilância digital se realize de forma encubierta e por sua naturalidade deixe rastros mínimos. Além disso, as ferramentas de cifração e anonimização podem dificultar a detecção de atividades de vigilância ou rupturas dos protocolos de segurança das plataformas digitais⁴⁹.

Nesses casos, a coleta de evidências apresenta-se muito importante. É possível levar um cabo de análise forense para detectar a presença de malware, registros de atividades específicas ou acesso não autorizado. Os peritos em análise forense utilizam ferramentas e metodologias específicas para garantir que a prova recopilada seja válida e admissível em tribunal. No entanto, esta classe de processos é tecnicamente exigente, cara e não está disponível popularmente, o que contrasta com a capacidade que possui tecnologias intrusivas de realização de vigilância masiva.

Moratória normativa sobre a tecnologia de vigilância e inteligência artificial

Uma a moratória é uma medida legal que suspende temporariamente ou restringe o desenvolvimento de certas atividades, com o fim de que primeiro se realize uma análise cuidadosa sobre as implicações legais e sociais de tais atividades. No contexto das tecnologias digitais, uma moratória legal pode avaliar os riscos e benefícios de uma nova tecnologia —como criptomoedas— antes de sua ampla adoção.

Na verdade, na região existe uma moratória normativa sobre a venda, a transferência e o uso da tecnologia de vigilância com abordagem de direitos humanos que aniam uma zona cinzenta, onde os Estados arraigam práticas de vigilância com ferramentas digitais⁵⁰. Em seu relatório de 2019, o Relator Especial ante as Nações Unidas, "propõe um marco jurídico e de políticas para a regulamentação, a transmissão de contas e a transparência no setor de vigilância privada. O Relator inclui um chamado para a imposição de uma regulamentação mais rigorosa sobre as exportações de equipamentos de vigilância e algumas restrições mais restritas à sua utilização, assim como de uma moratória imediata sobre a venda e a transferência para o nível mundial dos instrumentos que utilizam o setor de vigilância privada até que se estabeleçam restrições de salvaguarda dos direitos humanos na regulamentação de ações práticas e se possa garantir que os governantes e os agentes não estatais utilizem esses instrumentos de uma forma legítimo”.⁵¹

Em 2021, a Oficina da Alta Comisionada da ONU alertou sobre a proibição de tecnologias que não podem operar sem cumprir os padrões internacionais e pidió uma moratória imediata para a venda e uso de tecnologias que impõe um alto risco aos direitos humanos, até que se estabeleçam as salvaguardas adequadas. A Alta Comissão de Direitos Humanos das Nações Unidas revela “as repercussões inegáveis ​​e crescentes das tecnologias de inteligência artificial no exercício do Direito à privacidade e outros direitos humanos".⁵²

Este mesmo foi anunciado no cenário regional. Organizações civis anunciam riscos de tecnologias de vigilância em audiência à Comissão Interamericana de Direitos Humanos, que explicam que existe uma tendência preocupante em nível mundial e regional em relação ao uso de tecnologias de vigilância como forma de gerar respostas a uma ampla gama de desafios sociais, incluindo a segurança pública, o o controle das fronteiras, a resposta à pandemia, o monitoramento dos protestos sociais, o acesso aos serviços públicos, entre outros, sem que se avalie se seu impacto resulte em uma afetação desproporcionada e, por tanto, ilegítima a direitos como privacidade, liberdade de expressão e reunião, igualdade.”⁵³

Também Existem múltiplas preocupações relacionadas à implementação de inteligência artificial. O desenvolvimento e a popularização de ferramentas baseadas em inteligência artificial podem gerar muitos benefícios sociais em matéria de produtividade, automatização, criação de recursos ou segurança. No entanto, esses benefícios não fazem com que os riscos desapareçam. Por exemplo, a perda de empregos deveu-se à automatização, à invasão da privacidade e ao uso indevido de dados pessoais, ao potencial de criação de armas autónomas e à exacerbação da desigualdade económica e social se não for gerida adequadamente. Esses e outros riscos podem levar aos Estados a considerar a necessidade de uma pausa ou no despliegue dessas tecnologias.

Em 22 de março de 2023, o instituto Future of Life publicou uma carta aberta abaixo do título Pausar experimentos gigantes de IA(Pausar os grandes experimentos de IA), onde solicita aos gigantes tecnológicos uma pausa no treinamento de certos modelos de IA. A carta continha a avaliação de personalidades como Elon Musk —fundador de Tesla— e Steve Wozniak —cofundador da Apple—, mas não teve um efeito significativo⁵⁴. Por outro lado, um relatório do Fórum Económico Mundial sobre 36 países revelou que Índia, China, Alemanha e Brasil são os países onde mais pessoas têm problemas relacionados com um desenvolvimento e implementação descontrolados da IA. No Brasil, o país com a cifra mais alta da região, 28% dos entrevistados garantiram a possibilidade de um caos generalizado causado por uma IA “rebelde”⁵⁵. No entanto, existem inúmeras vozes que falam sobre a implementação da IA ​​​​e que comparam o meio que tem para essas tecnologias com o que tem com qualquer inovação de impacto semelhante, como a internet ou a empresa⁵⁶.

Com o ânimo de minimizar seus riscos, por exemplo, na Europa, propõe-se uma nova regulamentação para a IA conhecida como a Ley de Inteligencia Artificial da UE (EU AI Act)⁵⁷. Entre outras coisas, a proposta busca classificar as tecnologias em diferentes níveis de risco que vão desde o risco limitado (como nas ferramentas de manipulação de imagens) até níveis de risco inaceitáveis ​​(como tecnologias de rankingsocial). A Lei de IA estabelece obrigações para os provedores de IA, de acordo com os níveis de risco e proíbe os sistemas mais perigosos.

Por outro lado, uma crítica frequente à ideia de uma moratória é que, ao ser adotada apenas por um país ou por alguns poucos países, a implementação dessas tecnologias seria desigual e beneficiaria que não realizasse uma avaliação de riscos. Além disso, a ideia de uma moratória implica que se decidir quais devem ser os usos desta tecnologia e qual deve ser o curso de ação a tomar de cara no futuro. Este curso de ação proveio da visão de bem-estar social que poderia ser eleito, e poderia se beneficiar de maneira desproporcional às pessoas, com a carga de valorizar a situação e fechar a porta do debate⁵⁸.

Além dos pedidos para impedir o desenvolvimento ou implementação da IA, existem pedidos de moratórias semelhantes para outras tecnologias emergentes com riscos potenciais para a liberdade de expressão, como as relacionadas com a vigilância. Por exemplo, após uma investigação do Citizen Lab e Access Now, foi confirmado que o software espião Pegasus foi usado contra jornalistas e organizações da sociedade civil em El Salvador. Em resposta, em 16 de março de 2022, a Comissão Interamericana de Direitos Humanos (CIDH) celebrou uma audiência sobre cibervigilância em El Salvador, enfatizando a necessidade de um marco legal transparente e o cumprimento dos padrões internacionais de direitos humanos na intervenção de dispositivos de comunicação.⁵⁹. O CIDH também argumentou a favor de uma moratória sobre a venda, transferência e uso de tecnologia de vigilância até que fossem estabelecidas normas adequadas para proteger os direitos humanos. 

Apesar do escrutínio internacional e das chamadas à acção, os Estados continuam a utilizar tecnologia de vigilância de forma encoberta. Diante desta situação, na Europa, o Parlamento Europeu criou um comitê especial para investigar o uso de Pegasus e Programas espionagem de vigilância semelhante nos Estados membros da União Europeia (UE). Posteriormente, o comitê determinou o evento imediato da venda e o uso de Programas Espia e publica recomendações que destacam o alto risco de abuso que impede o uso dessas tecnologias sem marcos legais e supervisão adequada. O comitê também enfrentou violações da legislação da UE em vários países e instou a garantir seu cumprimento no futuro⁶⁰.

V. Vigilância à Prensa com Pegasus na América Latina

A naturalidade cambiante da vigilância secreta nos exige abordar os principais casos de vigilância na atualidade. A natureza intrusiva do programa espião Pegasus é de uma ordem de magnitude diferente dos tipos de programas espiões e métodos de uso anteriores. As revelações sobre esta tecnologia confirmam agora que foram desenvolvidas e utilizadas desde algum tempo, programas espiões que facilitam a captura indiscriminada de todos os dados de comunicação, e dados relacionados, em um dispositivo móvel, e que não estão sujeitos a nenhum marco jurídico suficientemente preciso ou determinável e foram permanentes durante algum tempo na margem de um escrutínio jurídico efetivo.

Na região foi evidenciado nos últimos anos o uso repetido de softwares de vigilância em vários países, o que indica um patrono sumamente preocupado com a intimidação de periodistas e defensores de direitos humanos.  

2021 Informações do software Pegasus 

O uso do programa espião Pegasus por parte dos governos foi descoberto pela primeira vez em 2016, quando um advogado de direitos humanos foi objeto de um ataque por meio de uma mensagem de texto em que prometia revelar segredos sobre torturas em cárceles dos Emirados Árabes Unidos. Depois de examinar a mensagem de texto, os especialistas do Citizen Lab da Universidade de Toronto descobriram o programa espião.⁴⁴ Entre 2016 e 2018, o Citizen Lab identificou um total de 45 países nos quais se acreditava que os operadores de Pegasus estavam iniciando operações de vigilância no cabo.⁴⁵ 

Em julho de 2021, uma aliança internacional de meios de comunicação e organizações da sociedade civil, incluindo o OCCRP, denunciou que governos de todo o mundo estavam utilizando o programa espião Pegasus contra jornalistas e outras pessoas, incluindo políticos da oposição.⁴⁶ As informações detalhadas como a NSO vendia o programa espião em países, entre o Azerbaijão, que ele usava para piratear telefones próprios de periódicos. Os relatórios vinculam o NSO a uma lista filtrada de mais de 50.000 números de telefone de mais de 50 países e sinalizam que esses números parecem ser objetivos de vigilância propostos para os clientes do NSO. Os relatórios afirmam que, além de jornalistas, a lista incluía proprietários de meios de comunicação, políticos da oposição, defensores dos direitos humanos, dirigentes governamentais e acadêmicos.⁴⁷ A lista filtrada foi obtida pela Amnistía Internacional e Forbidden Stories, que depois da parceria com a aliança internacional de meios de comunicação. Os periódicos ocupam um lugar de destaque na lista.⁴⁸  

Uma análise técnica realizada pela Anistia Internacional sobre alguns dos telefones incluídos na lista confirmou que muitos deles foram infectados por programas espiões.⁴⁹ Algumas tentativas não foram concluídas. No entanto, um resultado não conclusivo não significa que um telefone não detectado infectado: o programa espião Pegasus foi projetado para ocultar: «Vários iPhones que a Amnistía Internacional inspecionou indicam que Pegasus empreendeu recentemente a manipulação das bases de dados do sistema e dos registros dos dispositivos instalados para ocultar seus rastros e impedir os esforços de investigação de Amnistia Internacional e outros investigadores.»⁵⁰  

Como funciona o Pégaso? 

Pegasus é um software que pode ser instalado secretamente no dispositivo móvel de um indivíduo, mais comumente no telefone de um indivíduo, se esse dispositivo utilizar um sistema operacional Android ou iOS, com o fim de espiar esse indivíduo.⁶¹ O programa espião Pegasus tem a capacidade de converter a forma encuberta de um dispositivo móvel em um dispositivo de vigilância por tempo completo, que concede acesso completo e sem restrições a todas as informações do dispositivo uma vez infectado com o programa espião. 

O programa espião Pegasus é implantado em um dispositivo móvel por vários meios, pois quando o usuário do dispositivo clica em um link malicioso ou através de um transmissor inalámbrico localizado próximo ao telefone. Quando uma mensagem de texto mal-intencionada é utilizada, invariavelmente será formulada para despertar o interesse do objetivo. Depois de implantado e instalado no dispositivo, o programa espião Pegasus faz com que ele se comunique com um servidor de comando e controle operado pela entidade que utiliza o programa espião Pegasus. Esta comunicação geralmente é realizada através de servidores proxy intermediários, de modo que resulta extremamente difícil, examinando o código do programa espião, identificando a direção da Internet associada ao servidor de “mando e controle” (e, por isso, verificando a identidade ou localização do dicho servidor e da entidade que efetua o controle).⁶²  

Dado que o programa espião Pegasus permite que o driver obtenha os privilégios de root mencionados, ou privilégios administrativos, no dispositivo, fornece acesso total à câmera e ao microfone do dispositivo móvel, assim como sua geolocalização. A pessoa que utiliza o programa pode ler, enviar ou receber mensagens que deveriam estar cifradas de extremo a extremo, baixar fotos armazenadas, recuperar senhas e ouvir e pegar chamadas de voz ou vídeo.⁶³

Tal vez a revelação mais controversa e preocupante dos vários relatórios publicados desde julho de 2021, foi um recurso chave do programa espião Pegasus do qual não foi informado anteriormente: a capacidade de infectar um dispositivo por meio do método denominado «sem fazer clique». Isso significa que o spyware Pegasus, uma diferença de muitas outras formas de spyware, não precisa depender de nenhum ato por parte do usuário do dispositivo para ser ativado, ou depende de “jailbreaking” no sistema por meio da eliminação das restrições de acesso de um fabricante. Se ele for identificado e posteriormente identificado, vários exploits «zero-click» diferentes.⁶⁴ Uma vez que o dispositivo é infectado com o programa espião Pegasus é extremamente difícil de detectar, e as ações que levam a cabo, como a extração de dados, são extremamente difíceis de estabelecer.⁶⁵

NSO comercializou o programa espia Pegasus destacando e ensalzando essas características. No documento da NSO «Pegasus – Descrição do produto», entre as características centralizadas, destacam-se: a extração e coleta contínua de todos os dados armazenados em ou por um dispositivo infectado; o acompanhamento da localização do dispositivo; a interceptação e captura de chamadas de voz no dispositivo; a interceptação e captura em tempo real de sons nas proximidades do dispositivo (mediante a ativação do microfone interno); e a interceptação e captura em tempo real de imagens nas proximidades do dispositivo (mediante a ativação da câmera interna).⁶⁶

Os efeitos da análise deste caso e outros relacionados, é importante sinal que a NSO afirmou em repetidas ocasiões que o programa espião Pegasus só foi vendido a governos, o que foi confirmado em várias ocasiões por funcionários do Estado israelense e outras pessoas.⁶⁷ Em relação a este ponto, pelo menos até as revelações de julho de 2021, sempre foi exigida uma licença governamental para poder oferecer o software espião Pegasus aos organismos encargados para fazer cumprir a lei de outras ramas do Estado, e também em uma segunda fase para poder exportá-lo de Israel. Em resposta a estas revelações, e as informações posteriores aparecidas nos meios de comunicação de todo o mundo, assim como a reação de muitos estados de que membros de seus governos também foram pirateados com o programa espião Pegasus, o Ministério de Defesa israelense revogou milhas de licenças de exportação que haviam sido fornecidas por empresas israelenses para «reforçar o controle das exportações cibernéticas». A permanência do controle incluiu a introdução de novos termos e condições na declaração de usuário final que, segundo o Ministério, todos os países devem ser firmados como condição para obter a licença. ⁶⁸ O amplo relatório sobre o software espião Pegasus, além das revelações de julho de 2021, faz referência às vendas para governos, não para particulares ou empresas.⁶⁹ Estas reportagens são baseadas em declarações da NSO e do governo israelense. 

A própria NSO admite que seus programas espionaram violações de “direitos humanos fundamentais”.⁷⁰ No entanto, no decorrer de um procedimento incoado contra ela nos Estados Unidos, alegou que tinha direito à imunidade soberana baseando-se em que «o tribunal deveria estender a doutrina da imunidade soberana derivada porque os demandados eram contratistas dos soberanos estrangeiros que atuavam no âmbito do seu emprego…».».⁷¹ Além disso, baseou-se no argumento de que «a imunidade soberana estrangeira se baseava na conduta se aplica aos agentes privados de um soberano estrangeiro quando o agente atua em nome do Estado e que esta norma se aplica à sua conduta em nome de soberanos estrangeiros».⁷² Apesar de o recurso da NSO à defesa de imunidade soberana derivado desse caso fracassado, é revelado, a efeitos do presente caso, que sua posição no caso de EE.UU. foi um agente privado de Estados estrangeiros.

Casos na região

México

Em junho de 2017, Citizen Lab, ARTIGO 19, a Red en Defensa de los Derechos Digitales (R3D) e SocialTIC publicaram o relatório “Governo Espião: Vigilância sistemática a jornalistas e defensores de direitos humanos no México”, no qual se registra a contagem de vários casos de intenções de infecção com Pegasus. Posteriormente, a investigação “Exército Espía”Revelou novos casos de vigilância com Pegasus atribuídos com alto grau de certeza ao Exército Mexicano.

Um grande número de infecções por Pegasus ocorreu em momentos em que as vítimas realizaram trabalhos relacionados com violações de direitos humanos cometidas pelas Forças Armadas. Dentro das vítimas documentadas, estão incluídas vítimas de violações de direitos humanos, pessoas defensoras e organizações de direitos humanos, que foram atacadas por malware durante administrações governamentais distintas e pelo menos 25 jornalistas.

Em agosto de 2021, a Comissão Interamericana de Direitos Humanos (CIDH), sua Relatoria Especial para a Liberdade de Expressão (RELE) e a Oficina no México da Alta Comissão das Nações Unidas para os Direitos Humanos (ONU-DH) expressaram sua preocupação ante os novos hallazgos sobre a utilização do software Pegasus para espiar os jornalistas, pessoas defensoras de direitos humanos e pessoas com liderança pública que exercem oposição ao governo⁷³.

Em 2023, o New York Times revelou que o México “se tornou o usuário mais prolífico de Pegasus”⁷⁴. Neste contexto, e antes da gravidade dos crimes denunciados, motivou o pronunciamento de organismos internacionais. 

Em junho de 2023, em conformidade com os pronunciamentos anteriores, o CIDH e a RELE reiteraram ao Estado mexicano a redoblar seus esforços nas investigações sobre o uso ilegítimo do software para vigiar periodistas e pessoas defensoras, considerando que não se registram avanços substanciais e persistem o aumento de relatos de pessoas afetadas⁷⁵. Após a investigação da Fiscalidade Geral da República (FGR), a contratação e aquisição do sistema de espionagem Pegasus de dados desde 2014, a conta de uma janela temporal muito ampla para o uso desta tecnologia sem transparência e salvaguardas. As denúncias dos primeiros casos, sem embargo, ocorrerão a partir de 2017, e por mais de seis anos continuarão na impunidade da espionagem ilegal contra décadas de vítimas.⁷⁶

No comunicado de 2 de junho de 2023, o CIDH e a RELE, se expressaram sobre casos de uso do software de vigilância Pégaso, estabelecendo que “este tipo de prática não apenas vulnerável ao direito à privacidade consagrada na Convenção Americana, mas também tem o potencial de colocar em risco a integridade das pessoas periodistas e defensoras, ao mesmo tempo que aumenta a autocensura na imprensa e desincentiva os trabalhos de defesa dos direitos humanos”.⁷⁷

Destacamos que o CIDH e o RELE chamam a atenção do Estado em torno das seguintes obrigações:

1/ “Investigar de forma completa, exaustiva e imparcial a aquisição e o uso de Pegasus e sancionar os que resultam em responsabilidades, velar pelo cumprimento adequado das garantias do processo de débito; e garantir a cooperação efetiva que facilite às autoridades o conhecimento da informação no poder das instituições do Estado e do setor privado em questão para que possam relatar a declaração dos hechos. 

2/ “César imediatamente qualquer ação destinada à venda, à transferência e ao uso de tecnologia de vigilância até que se estabeleça marcos normativos on-line com os direitos humanos e instrua todos os seus agentes a se absterem de usar o software Pegasus de modo ilegal e que denunciou este tipo de instruções se viniesen de parte de seus superiores”.

3/ “Garantir o direito à vida privada por meio de ações positivas direcionadas para garantir a proteção de direito contra interferências de autoridades públicas e de pessoas ou instituições privadas”.

4/ "garantir a adoção de todas as medidas necessárias para respeitar, proteger e garantir o direito à privacidade e à liberdade de expressão da cidade, ao exercício do jornalismo, à defesa dos direitos humanos e à participação pública. Ele inclui o dever das mais altas autoridades de defesa dos direitos humanos e da participação pública. Contundente qualquer tipo de injúria ilegal à privacidade das pessoas por meio da tecnologia.

5/ Se as vítimas forem jornalistas e pessoas defensoras dos direitos humanos, realizem a investigação considerando suas funções e trabalhem como hipóteses principais na formulação de linhas de investigação.

Caso Carmen Aristegui.

O caso mais avançado no México na última data é o caso da jornalista Carmen Aristegui, cuja atividade periódica é versa sobre casos de corrupção nas altas esferas políticas durante a administração anterior, como a investigação sobre a Casa Branca do presidente Peña Nieto. No marco do processo penal contra Juan Carlos García Rivera (acusado pela Fiscalía General de la República (FGR) de ser um dos autores do delito de intervenção ilegal de comunicações contra o periodista, utilizando o malware Pegasus, na qualidade de “operador” do mismo) foi demonstrado que o periodista foi intervindo com Pegasus entre 2015 e 2016, tal como foi demonstrado mediante relatórios de especialistas de especialistas do Citizen Lab da Universidade de Toronto. No entanto, a Fiscalização não foi suficiente para a autoria nem a participação de García Rivera, pois ordenou sua liberação imediata e emitiu sentença absoluta em janeiro de 2024.⁷⁸

El Salvador

Em 2022, Citizen Lab e Access Now levaram a cabo uma investigação conjunta, em colaboração com Frontline Defenders, SocialTIC e a Fundación Acceso, confirmando 35 casos de periodistas e membros da sociedade civil de El Salvador cujos telefones foram infectados com Pegasus entre julho de 2020 e novembro de 2021. A probabilidade de ser espiado por este tipo de software, acionar os alarmes em meios de comunicação mais além das intervenções da Pegasus, provocando autocensura e silenciamento, conforme confirmado por organizações como Counterpart de El Salvador.

La CIDH, RELE e OACNUDH expressaron vción Ante os hallazgos sobre o uso do software Pegasus para espiar jornalistas e organizações da sociedade civil⁷⁹. A respeito, destacando que “Ante situações de denúncia de vigilância digital sobre atividades legítimas como o periódico e a defesa de direitos humanos, é dever dos Estados notificar formal e oportunamente as pessoas cuja privacidade foi invadida com o fim de que são capazes de: i) conhecer a informação coletada e ii) manifestar sua opinião sobre o tratamento futuro que você deve dar essa informação.”⁸⁰

Como parte do patrono seguido nestes casos, a vigilância teve seu lugar enquanto as organizações ou periódicos informavam sobre assuntos delicados relacionados com a administração do Presidente Bukele, como foi um escândalo relacionado à negociação por parte do governo de um “pacto” com a banda MS-13 para a redução da violência e o apoio eleitoral.

El Faro vs NSO

Pegasus foi usado amplamente entre 2020 e 2021 para hackear iPhones de al menos 22 periodistas e empregados atuais e anteriores de El Faro, em um ataque sem precedentes contra a liberdade de imprensa regional.⁸¹Para o momento desses ataques, os jornalistas do El Faro trabalham em investigações sobre um gabinete paralelo de assessores venezuelanos, planos secretos para criar uma criptomoeda estatal y malversação de fundos para a pandemia.⁸²

Em novembro de 2022, 18 membros de El Faro, representados pelos advogados do Instituto Knight da Primera Enmienda da Universidade de Columbia, apresentar a demanda contra o Grupo NSO  na Califórnia, alegando supostas violações da Lei de Fraude e Abuso Informático dos Estados Unidos (CFAA) e da legislação estatal comparável, e solicitando ao tribunal que ordene à NSO que devolva e empreste as informações roubadas dos servidores e dispositivos da Apple, bem como revele seu cliente em El Salvador.

Na primeira instância, 8 de março de 2024, julho do Distrito Norte da Califórnia desestimo el caso   forum non conveniens, afirmando que o litígio «pertenece a um tribunal de Israel ou El Salvador, e não aqui». El Instituto Knight apresentou seu escrito inicial de apelação em 15 de julho, argumentando que o tribunal havia “contradilhado diretamente sua própria análise dos fatores errados no caso Apple” hoje em dia que o juez mesmo deveria ter descartado esta análise em demandas separadas apresentadas pela Apple e Meta -a empresa matriz do WhatsApp- contra o desenvolvedor da Pegasus.

Ver mais sobre os últimos desenvolvimentos do processo aqui.

República Dominicana 

Em maio de 2023, através de uma investigação da Anistia Internacional, foi confirmado o primeiro caso na República Dominicana de infecção por Pegasus do telefone de uma jornalista, Nuria Piera, em três ocasiões entre 2020 e 2021 enquanto investigava casos de corrupção relacionados a altas cargas governamentais e familiares de ex-presidentes do país.⁸³ Nas datas em que foram infectados, eles trabalharam em investigações sensíveis e de alto interesse público; tal como “possíveis atos de corrupção por parte de membros da administração, como o agora ex-ministro Donald Guerrero, e das forças da ordem e também denúncias de abuso sexual na Câmara de Contas”.⁸⁴

La CIDH emitiu um pronúncia em junho de 2023, no que fez uma chamada ao Estado, realizou uma investigação completa e exaustiva dos crimes, e julgou e sancionou os responsáveis. Segundo a imprensa, a República Dominicana pagou 32 milhões de dólares, mas seguiu a incerteza sobre como e quem comprou o software, assim como quem fez a ópera e se fez uma ópera⁸⁵. Posteriormente, foram realizadas mudanças normativas importantes para concentrar as funções de inteligência e regulares.⁸⁶

Estados Unidos

Litígio

A Apple exigiu um Grupo NSO (veja aqui demanda) em novembro de 2021, alegando que a empresa israelense havia usado o software espião Pegasus para hackear dispositivos iPhone de vários usuários, incluindo periodistas, ativistas e outros indivíduos interessados. Por outro lado, Meta (responsável pelo WhatsApp) também incluiu uma demanda em contra Grupo NSO (2019). Da mesma forma, a empresa israelense usou o Pegasus para hackear milhas de contas de usuários do WhatsApp. (Para ver o tipo de material probatório utilizado para construir este caso vea: https://www.courtlistener.com/docket/16395340/1/1/whatsapp-inc-v-nso-group-technologies-limited/ ) 

A decisão de ambos os casos terá repercussões nos desenvolvedores de tecnologia em matéria de segurança e privacidade dos usuários. Ambas as plataformas alertam sobre a invasão de privacidade de seus usuários, por meio do hackeamento de seus próprios serviços, do incumprimento dos termos e condições de suas plataformas, e decidem estabelecer medidas legais para evitar futuros ataques. Por sua parte, o Grupo NSO defendeu seu software, alegando que ele é utilizado exclusivamente com multas de segurança nacional e para a luta contra o crime. 

Em 1º de março de 2024, segundo o monitoramento da Amnista Internacional, uma corte federal de primeira instância Ele solicitou à empresa israelense um software espião NSO Group que revelou documentos e códigos do WhatsApp relacionados ao seu famoso software espião Pegasus. O processo segue em andamento.⁸⁷

Medidas administrativas

Em fevereiro de 2024, o governo dos Estados Unidos anunciou restrições à indústria de spyware, consistentes na imposição de restrições globais de visto a pessoas que estavam envolvidas no uso indevido de software espião comercial. Esta seria aplicável a pessoas, inclusive, de países que normalmente não exigem visto para ingressar nos Estados Unidos. UU., como os países da UE e Israel. Também afetará as pessoas que acreditam que facilitarão a obtenção de benefícios financeiros pelo uso independente de software espião comercial e seus familiares imediatos. ⁸⁸

Em 2023, se emitió la Ordem executiva  sobre a proibição do uso por parte do governo dos Estados Unidos de software espião comercial que representa riscos para a segurança nacional. Esta medida se impõe muito à Oficina de Indústria e Segurança (BIS) do Departamento de Comércio que alistou-se em 2021, quatro empresas estrangeiras que participaram de atividades contrárias à segurança nacional ou aos interesses da política externa dos Estados Unidos, consideraram que havia evidências de que essas entidades desenvolviam e ministravam software espião a governos estrangeiros que usavam essas ferramentas para atacar maliciosamente funcionários governamentais, periodistas, empresários, ativistas, acadêmicos e trabalhadores de embaixadas⁸⁹. Quatro entidades estão localizadas em Israel, Rússia e Cingapura. Esta medida implica que as empresas estaduais unidenses proíbam vender produtos ou serviços ao Grupo NSO, como uma forma de presidir a empresa para que realizem suas operações de espionagem.

Colômbia

Em março de 2024, o meio de comunicação israelense Haaretz publicou um iinvestigação que daria conta da compra de Pegasus por parte do Estado colombiano. No entanto, num primeiro momento, funcionários do Estado negaram a disponibilidade de seu hardware, provocando mais dúvidas sobre as condições de aquisição de seu software.⁹⁰ Em julho de 2024, este tema foi aprofundado pela RTVC e pela Revista Raya, que denunciou que o governo de Duque o havia comprado “com dinheiro incautado a narcotraficantes e pagou 13 milhões de dólares em efetivo para intervir 2.600 linhas telefônicas”, em 2021, quando se desenrolou os protestos masivas no país. Denunciando que a compra era possível, graças a que um ministro israelense havia solicitado ao banco receber o efetivo, quem depois confirmou que o comprador era uma entidade pública colombiana.⁹¹

O Presidente Petro pronunciou um discurso em 5 de setembro, afirmando que havia compras constantes por parte da Direção de Inteligência Policial (DIPOL). O Presidente revelou informações de inteligência. O presidente disse que a DIPOL havia feito pagamentos de 5,5 milhões de dólares cada uma para a empresa de vigilância israelense NSO. Em junho, a Fiscalização Geral da Nação venceu a investigação anterior sobre supostas interceptações ilegais para magistrados e altos funcionários da justiça. Até o momento foram realizadas 25 entrevistas, 12 inspeções, cinco coletas de informações e análise forense. Entre os entrevistados encontraram-se o ex-vice-ministro Jairo García Guerrero, o ex-diretor del Dapre, Víctor Manuel Muñoz e o general Juan Diego Sepúlveda, entre outros.⁹²

Posteriormente, em novembro de 2024, a Unidade Investigadora do EL TIEMPO revelou a versão de funcionamento do governo de Joe Biden que garantiu que a compra do Pegasus foi financiada pelos Estados Unidos com “recursos lícitos”. Alguns jornalistas relataram que o acordo foi feito quando Trump era o presidente para lutar contra o narcotráfico e o crime organizado, mas a compra foi realizada enquanto Biden estava na carga. Ao que parece, o então presidente colombiano não estava envolvido na compra de software⁹³. Daniel García-Peña, embaixador da Colômbia em Washington, funcionários da administração Biden confirmaram que o governo dos Estados Unidos ajudou a facilitar a aquisição do Pegasus para seu uso na Colômbia.⁹⁴ No entanto, ninguém sabia que tinha ou tinha acesso à ferragem, nem sabia onde estaria alojado, quem teria acesso e manejo do misma, se soubesse que poderia ser intervencionado com o Programas, quem definiu os objetivos ou qual quer forçar os dispositivos de controle⁹⁵. 

Demanda contra a Lei de Inteligência

El Veinte formulou ação de inconstitucionalidade em contraposição aos artigos 17 (parcial) e 33 (parcial) da Lei 1621 de 2013 para considerar vulneráveis ​​os artigos 20 (liberdade de expressão) e 93 (integração de tratados internacionais de DDHH na Constituição) da Constituição Política de 1991, assim como os artigos 2, 11 e 13 da Convenção Americana sobre Direitos Humanos (CADH).

Os demandantes sustentam que a norma vigente pode ser interpretada como uma autorização ampliada para intervir na vida privada das pessoas, e que o monitoramento do espectro eletromagnético pode acessar comunicações privadas (como chamadas telefônicas, mensagens de dados e conteúdo digital) sem necessidade de autorização judicial. Argumenta que o monitoramento do espectro deve considerar uma injerência na vida privada que, por seu impacto nos direitos fundamentais, deve exigir sempre controle judicial. Além disso, o artigo 33 da Lei 1621 de 2013 estabelece que as informações e documentos dos organismos de inteligência e contra-inteligência serão reservados por lei devido à naturalidade de suas funções. Para os atuantes, a norma não define de maneira específica que tipo de informação deve ser considerada reservada ou as multas legítimas (como a segurança ou a defesa nacional) que justificaram a reserva. A demanda exige que esta norma não cumpra os padrões internacionais, pois: i) a informação é classificada como reservada apenas para pertencer a organismos de inteligência, sem considerar seu conteúdo; ii) não define de maneira clara os conceitos de “segurança” e “defesa nacional”, nem estabelece categorias de informações que justifiquem a reserva, o que cria uma reserva genérica incompatível com os artigos 11 e 13 da Convenção Americana de Direitos Humanos

A Corte Constitucional admitiu a demanda para seu estúdio até auto data de 15 de novembro de 2024, e este se oficializou a uma série de organismos de inteligência e contra-inteligência para transmitir os protocolos por meio de quais se apoiam nas atividades de monitoramento do espectro eletromagnético e determinam a reserva da informação. A decisão de fundo espera-se até 2025.

Panamá

Conclusão

À medida que avançamos, os ativistas dos direitos digitais têm um papel importante a desempenhar para garantir que os Estados sigam o ritmo da evolução da proteção de dados e promulguem marcos legislativos que protejam e promovam o cumprimento do direito das pessoas à privacidade. Ao mesmo tempo, existe uma necessidade de que os ativistas e defensores desses direitos fiquem vigilantes e atuem contra as aplicações desmedidas das legislações de privacidade e proteção de dados que podem ser desencadeadas em censura.

Por outro lado, a coleta de dados biométricos e o reconhecimento facial apresentam preocupações sobre a privacidade e a discriminação, enquanto a coleta de evidências de violações à liberdade de expressão on-line destaca a importância de proteger os direitos digitais em um ambiente cada vez mais vigiado. Em última instância, o desenvolvimento de políticas e práticas efetivamente requer uma colaboração contínua entre governos, empresas tecnológicas e a sociedade civil para garantir que os direitos fundamentais nos ambientes digitais sejam respeitados.

A proliferação de casos de vigilância, especialmente por meio do Pegasus, deixa em evidência a necessidade do debate sobre a moratória sobre certas tecnologias e seu impacto nos direitos humanos. 

As intenções de regulamentação da IA ​​na América Latina mostram um progresso notável através da criação de marcos legais que abrangem os aspectos éticos e sociais dessas tecnologias, embora garantir a transparência tecnológica seja um reto vigente.