Privacidade e segurança online – África subsaariana

Principais insights

Introdução

Na atual era orientada por dados, o direito à privacidade tem recebido crescente reconhecimento como um direito fundamental, tanto em si mesmo quanto como um facilitador de outros direitos. Isso inclui a garantia do direito à liberdade de expressão, por exemplo, permitindo que indivíduos compartilhem opiniões anonimamente em circunstâncias nas quais possam temer censura por essas opiniões, permitindo que denunciantes façam divulgações protegidas e possibilitando que membros da mídia e ativistas se comuniquem de forma segura, fora do alcance da interceptação ilegal por parte do governo.

A principal disposição do direito internacional relativa ao direito à privacidade encontra-se no artigo 17.º do Pacto Internacional sobre os Direitos Civis e Políticos (PIDCP):

• Subartigo ¹ Estabelece que ninguém será sujeito a interferências arbitrárias ou ilegais em sua privacidade, família, lar ou correspondência, nem a ataques ilegais à sua honra e reputação.
• Subartigo ² Prossegue afirmando que todos têm o direito à proteção da lei contra tais interferências ou ataques.

Com a rápida evolução da tecnologia, também evoluem as considerações sobre o direito à privacidade, que tem permanecido em destaque na agenda internacional de direitos humanos nos últimos anos. Em 2016, a Assembleia Geral das Nações Unidas aprovou uma resolução defendendo a proteção do direito à privacidade, particularmente no âmbito digital, e instando os Estados a adotarem medidas para prevenir violações desse direito.¹ Em 2018, o Alto Comissariado das Nações Unidas para os Direitos Humanos publicou um relatório que destacava os desafios enfrentados pela privacidade na era digital.² Este relatório delineou questões-chave como o crescente rastro digital, o compartilhamento de dados e projetos biométricos que carecem de salvaguardas adequadas. Além disso, destacou preocupações com a vigilância em massa, os crimes cibernéticos e as tentativas de minar a criptografia e o anonimato. Em 2020, o relatório do Alto Comissário sobre o impacto das novas tecnologias nos direitos humanos em assembleias sublinhou a importância das comunicações seguras na organização de protestos pacíficos.³ O documento alertava para os perigos da vigilância facilitada pela tecnologia, que representa riscos significativos para os direitos humanos durante assembleias e contribui para a restrição do espaço cívico em muitos países.

Em 2021, o Alto Comissariado das Nações Unidas para os Direitos Humanos apresentou o relatório sobre Privacidade na Era Digital, que se baseia em relatórios anteriores, mas se concentra na inteligência artificial (IA), reconhecendo que "os sistemas de IA podem facilitar e agravar as violações da privacidade".⁴ Essas intrusões podem incluir “aplicações totalmente novas, bem como recursos de sistemas de IA que expandem, intensificam ou incentivam a interferência no direito à privacidade, principalmente por meio do aumento da coleta e do uso de dados pessoais”.

O relatório de 2022 sobre Privacidade na Era Digital focou-se na utilização indevida de ferramentas de hacking intrusivas; no papel crucial da encriptação na salvaguarda do direito à privacidade e de outros direitos; e na monitorização extensiva de áreas públicas.⁵ O relatório destaca os potenciais perigos do estabelecimento de sistemas generalizados de vigilância e controle, que poderiam comprometer o desenvolvimento de sociedades vibrantes e que respeitem os direitos humanos. Ainda em 2022, em resposta à rápida e extensa coleta de dados pessoais supostamente destinada a lidar com a crise da COVID-19 entre 2020 e 2022, o Relator Especial das Nações Unidas sobre Privacidade publicou um documento detalhando a aplicação de princípios como a restrição do uso de dados a fins específicos, a eliminação de dados e a demonstração ou garantia preventiva de responsabilização no tratamento de informações pessoais coletadas por órgãos governamentais durante a pandemia.⁶

No contexto africano, a Carta Africana dos Direitos Humanos e dos Povos (Africuma CartaA Carta Africana não contém uma disposição expressa sobre o direito à privacidade. No entanto, argumenta-se que esse direito pode – e deve – ser inferido da Carta por meio do direito ao respeito pela vida e integridade da pessoa, do direito à dignidade e do direito à liberdade e segurança da pessoa.⁷ Este argumento baseia-se na abordagem adotada pela Comissão Africana dos Direitos Humanos e dos Povos (Comissão Africana) em Centro de Ação pelos Direitos Sociais e Econômicos e Outro contra Nigéria e a jurisprudência comparada do Supremo Tribunal da Índia em Juiz KS Puttaswamy (aposentado) e outro contra União da Índia e outros.⁸

Vale mencionar que outros instrumentos regionais africanos reconhecem o direito à privacidade.⁹

Por exemplo, o artigo 10 do Carta Africana dos Direitos e Bem-Estar da Criança prevê que: 


Nenhuma criança será sujeita a interferências arbitrárias ou ilegais em sua privacidade, lar familiar ou correspondência, nem a ataques à sua honra ou reputação, desde que os pais ou responsáveis ​​legais tenham o direito de exercer supervisão razoável sobre a conduta de seus filhos. A criança tem o direito à proteção da lei contra tais interferências ou ataques.

Em fevereiro de 2021, a Comissão Africana dos Direitos Humanos e dos Povos (CADHP) aprovou a Resolução nº 473, destacando a necessidade imperativa de enfrentar as ramificações da inteligência artificial, da robótica e de outras tecnologias emergentes para os direitos humanos na África.¹⁰ A resolução sublinha a preocupação relativamente ao amplo impacto das tecnologias de IA, da robótica e de outras tecnologias emergentes nos direitos humanos, incluindo o direito à privacidade.

Notavelmente, a tão aguardada Convenção da União Africana sobre Segurança Cibernética e Proteção de Dados Pessoais (Convenção de MalaboA Convenção sobre a Proteção de Dados Pessoais (CPP) foi promulgada em 2023. Em seu preâmbulo, ela reconhece o compromisso da União Africana (UA) em construir uma sociedade da informação e proteger “a privacidade de seus cidadãos em suas vidas diárias ou profissionais, garantindo, ao mesmo tempo, o livre fluxo de informações”. Além disso, a CPP busca estabelecer uma estrutura legal abrangente para o comércio eletrônico, a proteção de dados e a regulamentação do cibercrime e da segurança cibernética em todo o continente. Ela exige que os Estados-membros adotem legislação nacional em cada uma dessas áreas políticas, alinhando-se aos diversos padrões e princípios delineados na convenção. Em âmbito nacional, mais de 50 constituições africanas, incluindo emendas e revisões recentes, fazem referência ao direito à privacidade.¹¹ Dos 55 estados africanos, 36 possuem leis de proteção de dados, e 3 estados têm projetos de lei em andamento.¹²

É muito provável que a luta pelo direito à privacidade continue sendo uma batalha urgente, à medida que os avanços digitais, cada vez mais complexos, tentam corroer esse direito fundamental e tudo o que ele possibilita. É igualmente provável que a regulamentação da tecnologia tenha implicações para o direito à privacidade – tanto positivas quanto negativas.

Proteção de dados

Princípios fundamentais para a proteção de dados

A proteção de dados é uma das principais medidas para garantir o direito à privacidade. As leis de proteção de dados visam proteger e salvaguardar o tratamento de informações pessoais (ou dados pessoais).

Embora as definições e os termos específicos possam variar, a maioria das leis de proteção de dados estabelece conceitos básicos semelhantes:

• Informação pessoal ou um termo equivalente geralmente se refere a qualquer informação relacionada a uma pessoa natural identificada ou identificável que possa ser usada para identificá-la, direta ou indiretamente, como seu nome, dados de contato, idade, raça, sexo, orientação sexual, informações de saúde, informações financeiras, detalhes de emprego, opiniões políticas ou religiosas ou informações biométricas.
• A assunto de dados É qualquer pessoa a quem esta informação se refere – em outras palavras, uma pessoa cujos direitos estão em jogo.
• O controlador de dados, que normalmente pode ser um órgão público ou privado, é a pessoa ou entidade responsável pelo processamento das informações pessoais do titular dos dados.
• Tratamento Geralmente se refere a uma ampla gama de ações que podem ser realizadas com informações pessoais, incluindo coleta, organização, armazenamento, alteração, recuperação, envio ou exclusão, e abrange meios manuais e automatizados.
• A protecção de dados Uma autoridade é um tipo de órgão público ou entidade independente criada para monitorar e garantir o cumprimento de um quadro de proteção de dados. Este módulo explora as autoridades de proteção de dados com mais detalhes abaixo, na seção "Utilização das autoridades de proteção de dados para defender o direito à privacidade".

Embora possam existir diferenças entre jurisdições, há também vários princípios orientadores que aparecem na maioria das estruturas de proteção de dados. Diretrizes de Proteção de Dados Pessoais para a África¹³ (Diretrizes de Proteção de Dados), uma iniciativa conjunta da Internet Society (ISOC) e a UA, estabelece princípios fundamentais de proteção de dados que aparecem na maioria das estruturas:¹⁴

• Limitação da coleçãoOs dados pessoais devem ser obtidos e tratados de forma lícita, leal e, na medida do possível, transparente.
• Qualidade de dadosOs dados pessoais devem ser exatos no momento da coleta, e medidas razoáveis ​​devem ser tomadas para garantir que sua exatidão seja mantida durante o período de retenção.
• Especificação de finalidadeOs dados pessoais devem ser coletados apenas para fins específicos, explícitos e legítimos. Os dados pessoais devem ser utilizados apenas para outros fins compatíveis com as leis aplicáveis, como o arquivamento de dados de interesse público ou para pesquisa científica.
• Limitação de usoOs dados pessoais não devem ser divulgados, disponibilizados ou utilizados para outros fins, exceto com o consentimento do indivíduo ou quando autorizado por lei.
• Medidas de segurançaOs dados pessoais devem ser protegidos por medidas de segurança razoáveis ​​para manter sua integridade e confidencialidade.
• AberturaDeveria haver uma política geral de transparência sobre os desenvolvimentos, práticas e políticas relativas aos dados pessoais.
• Participação individualOs indivíduos devem ter o direito de obter informações sobre os seus dados pessoais que terceiros detêm. Esses dados devem ser fornecidos dentro de um prazo razoável, de forma facilmente compreensível e a um custo não excessivo. Os titulares dos dados têm o direito de contestar os seus dados e de os retificar, caso estejam incorretos, ou de os apagar, se assim for apropriado.
• ResponsabilidadeAqueles que coletam e processam dados pessoais devem ser capazes de demonstrar sua conformidade com esses princípios.

Além de garantir o direito à privacidade, as leis de proteção de dados geralmente também facilitam o direito de acesso à informação. A maioria das leis de proteção de dados prevê que os titulares dos dados solicitem e tenham acesso às informações que o controlador possui sobre eles. Esse mecanismo permite que os titulares dos dados verifiquem se suas informações pessoais estão sendo processadas em conformidade com as leis de proteção de dados aplicáveis ​​e se seus direitos estão sendo respeitados.

Outro princípio fundamental dos marcos de proteção de dados é que os dados pessoais não devem ser transferidos para um país que não garanta um nível adequado de proteção aos direitos e liberdades dos titulares dos dados no que diz respeito ao processamento de informações pessoais.¹⁵

Marcos de proteção de dados na África

Um número crescente de países africanos promulgou leis de proteção de dados, e outros estão em processo de fazê-lo. Além de dar efetividade ao direito à privacidade, a legislação de proteção de dados também desempenha um papel fundamental na facilitação do comércio entre os países, visto que muitas leis de proteção de dados restringem as transferências transfronteiriças de dados em circunstâncias nas quais o país que recebe as informações não oferece um nível adequado de proteção de dados.

Conforme observado nas Diretrizes de Proteção de Dados, ao considerar a estrutura de proteção de dados relevante, é necessário compreender o contexto africano e as características particulares que daí decorrem:¹⁸

• Existe uma significativa diversidade cultural e jurídica em todo o continente, com diferentes expectativas de privacidade.
• Variações no acesso à tecnologia e aos serviços online entre os Estados-Membros.
• Questões sensíveis relacionadas à etnia e à criação de perfis de cidadãos sem consentimento.
• Diferentes níveis de competência em áreas como tecnologia e legislação e governança relacionadas à tecnologia.
• Riscos decorrentes da alta dependência de fabricantes e prestadores de serviços não africanos, incluindo a limitada capacidade dos estados africanos de influenciar o comportamento de prestadores de serviços externos e o risco potencialmente maior de uso indevido de dados quando o conteúdo e os serviços são fornecidos exclusivamente por empresas estrangeiras.

De acordo com as Diretrizes de Proteção de Dados, este contexto apresenta desafios únicos para a aplicação das leis locais de proteção de dados, o que pode dificultar essa aplicação.

O processo de Convenção de Malabo A Convenção de Malabo fornece orientações úteis em nível regional para os Estados que desejam implementar estruturas de proteção de dados em nível nacional. O Capítulo II da Convenção de Malabo estabelece os princípios relevantes para a proteção de dados. Conforme estabelecido no artigo 8.¹O objetivo da Convenção é que cada Estado Parte se comprometa a estabelecer um quadro jurídico "visando fortalecer os direitos fundamentais e as liberdades públicas, em particular a proteção de dados físicos, e punir qualquer violação da privacidade, em prejuízo do princípio da livre circulação de dados pessoais".

Artigo 13 da Convenção de Proteção de Dados da AU¹⁹ estabelece os seguintes princípios básicos que regem o tratamento de dados pessoais:

• Princípio 1: Princípio do consentimento e da legitimidade do tratamento de dados pessoais.
• Princípio 2: Princípio da legalidade e lealdade do tratamento de dados pessoais.
• Princípio 3: Princípio da finalidade, relevância e armazenamento dos dados pessoais tratados.
• Princípio 4: Princípio da exatidão dos dados pessoais.
• Princípio 5: Princípio da transparência no tratamento de dados pessoais.
• Princípio 6: Princípio da confidencialidade e segurança do tratamento de dados pessoais.

Os artigos 16 a 19 da Convenção de Malabo estabelecem os direitos dos titulares dos dados, nomeadamente o direito à informação; o direito de acesso; o direito de oposição; e o direito à retificação ou ao apagamento. Os artigos 20 a 23 estabelecem as obrigações dos responsáveis ​​pelo tratamento de dados pessoais, nomeadamente as obrigações de confidencialidade; as obrigações de segurança; as obrigações de conservação; e as obrigações de sustentabilidade.

No que diz respeito às transferências transfronteiriças de dados, o artigo 14.⁶A alínea (a) dispõe que: “O responsável pelo tratamento de dados não deve transferir dados pessoais para um Estado não membro da União Africana, a menos que esse Estado assegure um nível adequado de proteção da privacidade, das liberdades e dos direitos fundamentais das pessoas cujos dados estão sendo ou provavelmente serão tratados”. A alínea (b) prevê ainda que a proibição não se aplica se o responsável pelo tratamento de dados tiver solicitado autorização para a transferência à autoridade de proteção de dados competente antes da transferência dos dados.

Aplicação extraterritorial dos quadros de proteção de dados na Europa

Existem dois instrumentos europeus fundamentais em matéria de proteção de dados que têm aplicação extraterritorial nos Estados africanos: Convenção 108 e GDPR.

O processo de Convenção para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento de Dados Pessoais²⁰ – geralmente referida como Convenção 108 – é um instrumento do Conselho da Europa (EOCA Convenção 108 foi aberta para assinatura em 1981 e foi o primeiro instrumento juridicamente vinculativo na área da proteção de dados.²¹ O objetivo da Convenção 108 é “proteger todos os indivíduos, independentemente de sua nacionalidade ou residência, no que diz respeito ao tratamento de seus dados pessoais, contribuindo assim para o respeito aos seus direitos humanos e liberdades fundamentais, e em particular ao direito à privacidade”.²² A Convenção 108 prevê a livre circulação de dados pessoais entre os Estados Partes da Convenção.

Uma característica fundamental da Convenção 108 é que, além dos membros do Conselho da Europa, ela também prevê a possibilidade de adesão de Estados não europeus. Por exemplo, no contexto africano, Cabo Verde, Maurício e Senegal já aderiram à Convenção. Isso é relevante por diversos motivos: reconhece a adequação de seus marcos de proteção de dados; adiciona uma camada extra de proteção às pessoas nesses Estados; e pode facilitar a transferência transfronteiriça de dados entre esses Estados africanos e a Europa. A Convenção 108 permanece aberta à adesão de outros Estados africanos que atendam aos requisitos necessários.

O segundo instrumento fundamental, o Regulamento Geral de Proteção de Dados da União Europeia 2016/679²³ (GDPRO Regulamento Geral sobre a Proteção de Dados (RGPD) é um esforço para harmonizar todas as leis de proteção de dados na União Europeia e é aplicável a todos os Estados-Membros da UE desde 25 de maio de 2018. Conforme explicado no artigo 1.º do RGPD, o seu objetivo é estabelecer regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como regras relativas à livre circulação desses dados. Em particular, o artigo 1.º² Deixa claro que o RGPD visa proteger os “direitos e liberdades fundamentais das pessoas singulares e, em particular, o seu direito à proteção de dados pessoais”.

O Capítulo II do RGPD estabelece os seguintes princípios:

• Artigo 5.º: Princípios relativos ao tratamento de dados pessoais.
• Artigo 6: Licitude do tratamento.
• Artigo 7: Condições para o consentimento.
• Artigo 8.º: Condições aplicáveis ​​ao consentimento de uma criança em relação aos serviços da sociedade da informação.
• Artigo 9.º: Tratamento de categorias especiais de dados pessoais.
• Artigo 10: Tratamento de dados pessoais relativos a condenações e infrações penais.
• Artigo 11: Tratamento de dados que não exige identificação.

As condições para o consentimento merecem especial atenção. É importante ressaltar que cabe ao controlador de dados o ônus de demonstrar que o titular dos dados consentiu com o processamento de seus dados pessoais.²⁴ Nos casos em que se solicita o consentimento por escrito, o RGPD prevê que este pedido de consentimento “deve ser apresentado de forma claramente distinguível dos demais assuntos, de forma inteligível e de fácil acesso, utilizando linguagem clara e simples”, para que seja vinculativo.²⁵ O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sendo necessário que a retirada do consentimento seja tão fácil quanto a sua concessão.²⁶ Além disso, o RGPD prevê que, ao avaliar se o consentimento foi dado livremente, deve-se levar em consideração, sobretudo, se a execução de um contrato ou a prestação de um serviço "está condicionada ao consentimento para o tratamento de dados pessoais que não sejam necessários para a execução desse contrato".²⁷

Uma inclusão singular e notável do RGPD é que, de acordo com o Artigo 3, ele busca se aplicar extraterritorialmente a controladores de dados que não estejam estabelecidos na UE, independentemente de o processamento ocorrer na UE ou não.

O não cumprimento do RGPD acarreta sanções significativas, incluindo multas administrativas de até 20 000 euros ou 4% do volume de negócios mundial total do infrator no ano anterior, consoante o que for mais elevado.²⁸

Utilização das autoridades de proteção de dados para reivindicar o direito à privacidade.

Os quadros de proteção de dados normalmente preveem o estabelecimento de uma autoridade de proteção de dados (DPA) para supervisionar e aplicar a estrutura relevante. Essas autoridades de proteção de dados geralmente recebem uma série de poderes, incluindo o de serem notificadas em caso de violação de dados, de julgar reclamações e de impor penalidades quando um controlador de dados for considerado em descumprimento da estrutura de proteção de dados.

Nos estados com autoridades de proteção de dados estabelecidas, essa pode ser uma via para reivindicar o direito à privacidade. Em caso de violação de dados ou outra infração à legislação de proteção de dados, os titulares dos dados podem ser auxiliados no registro de reclamações junto à autoridade de proteção de dados competente. Esse fórum quase judicial pode representar uma solução relativamente rápida e econômica para o titular dos dados.

Em 2023, a Tools for Humanity iniciou um teste de uma nova iniciativa de criptomoeda conhecida como Worldcoin.³⁰ Esta campanha ofereceu aos indivíduos uma pequena quantia em criptomoeda em troca da coleta de seus dados biométricos. Milhares de pessoas participaram dessa oportunidade, apesar de terem informações limitadas sobre como seus dados seriam utilizados. Em maio, o Escritório do Comissário de Proteção de Dados do Quênia (OPDC) instruiu a empresa a cessar o processamento de dados, uma diretiva que supostamente foi ignorada. Somente em agosto, quando o Ministério do Interior interveio e ordenou a suspensão das atividades da Worldcoin no país devido a preocupações com a proteção de dados, a empresa finalmente interrompeu a coleta de dados. Posteriormente, o OPDC iniciou um processo judicial contra a Tools for Humanity no Tribunal Superior.³¹

RETENÇÃO DE DADOS

A retenção de dados é normalmente descrita como "o processo pelo qual governos e empresas (especialmente provedores de telecomunicações e internet) registram e armazenam diversos dados (geralmente relacionados a indivíduos)".³⁴ Conforme explicado pela Privacy International:(35)

A prática de retenção de dados envolve a coleta e o armazenamento de dados de comunicação por longos períodos com o objetivo de acesso futuro. Os metadados contam a história dos seus dados e respondem às perguntas quem, quando, o quê e como de uma comunicação específica.

Embora os termos e definições específicos variem, a maioria das estruturas legais sobre retenção de dados relacionados a comunicações prevê duas categorias de informações: o "conteúdo" da própria comunicação e as informações... sobre A comunicação. Esta segunda categoria, frequentemente chamada de dados de comunicação ou metadados de comunicação, inclui uma ampla gama de informações que costumam ser bastante reveladoras, como as identidades ou identificadores dos envolvidos, os horários e durações de suas interações, informações de localização e quaisquer tecnologias ou serviços utilizados. Embora a retenção de dados possa ser importante para investigações criminais, ela também confere mais poder aos governos para monitorar o público e retira seus direitos à privacidade online.³⁶ A prática de exigir a retenção de dados de comunicação levanta preocupações significativas em relação à privacidade, transparência e segurança. Por sua vez, isso pode afetar a forma como as pessoas exercem seus direitos online e representa um risco de levar à autocensura.

Foi observado que: “As leis de retenção de dados variam de país para país, mas, em última análise, têm o mesmo objetivo: um maior controle sobre o mundo digital em detrimento da privacidade e da liberdade de expressão”.³⁷ A Privacy International explica que a retenção em massa de registros de comunicação de indivíduos, fora do contexto de qualquer investigação criminal ou finalidade comercial, “equivale à compilação de dossiês sobre cada um de nós, nossos amigos, familiares e colegas”.38A Privacy International explica ainda que:

Os potenciais danos associados à retenção e ao acesso a dados são significativos. Num contexto em que a recolha e a exploração de dados por empresas privadas se tornam cada vez mais invasivas e generalizadas em termos de privacidade, a retenção de dados representa sérios riscos para a privacidade individual e para a segurança dos dados. Os dados abrem caminho para que governos e terceiros façam inferências íntimas sobre os indivíduos, criem perfis e, de outras formas, invadam a vida privada das pessoas. Se a informação não for devidamente protegida, existe o potencial de acesso não autorizado a grandes quantidades de informação por terceiros, incluindo cibercriminosos.

A maioria das estruturas de proteção de dados prevê que os dados só devem ser coletados para fins específicos, explícitos e legítimos e que esses dados devem, normalmente, ser apagados quando deixarem de ser necessários. Além disso, os dados não devem ser mantidos por mais tempo do que o necessário. Por exemplo, o artigo 5.º¹(e) do RGPD prevê que os dados pessoais devem ser –

mantidos de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais os dados pessoais são tratados; os dados pessoais podem ser armazenados por períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos… sujeito à implementação das medidas técnicas e organizativas adequadas exigidas por este Regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados ('limitação de conservação').

Em geral, existem dois fatores principais que determinam um período adequado de retenção de dados: (i) a finalidade do processamento dos dados; e (ii) quaisquer requisitos legais ou regulamentares para a sua retenção. No que diz respeito a este último ponto, vários países possuem leis de retenção de dados obrigatórias que exigem que os provedores de serviços de telecomunicações e internet retenham certos tipos de dados – como metadados – por períodos de tempo estipulados.

É importante salientar que houve pelo menos duas decisões significativas do Tribunal de Justiça da União Europeia — Direitos Digitais Irlanda³⁹ e Tele2 Suécia AB⁴⁰ — que reafirmaram a exigência de que todos os regimes de retenção de dados devem cumprir os princípios da legalidade, da necessidade e da proporcionalidade.⁴¹ São necessárias também medidas de segurança adequadas para proteger os dados que foram retidos.

Vigilância

vigilância digital liderada pelo governo

A vigilância das comunicações abrange o monitoramento, a interceptação, a coleta, a análise, a retenção ou ações semelhantes das comunicações de uma pessoa no passado, presente ou futuro.⁴³ A vigilância online tem sido uma questão central para os ativistas de direitos humanos há anos, mas Revelações de Snowden A discussão sobre a extensão e o alcance da vigilância em massa global trouxe nova urgência e conscientização ao assunto e desencadeou uma onda de mudanças políticas e jurisprudenciais em muitas jurisdições.

A vigilância constitui uma interferência flagrante no direito à privacidade. Além disso, infringe também o direito de ter opiniões sem interferência e o direito à liberdade de expressão. No que diz respeito especificamente ao direito de ter opiniões sem interferência, os sistemas de vigilância, tanto direcionados quanto em massa, podem minar o direito de formar uma opinião, uma vez que o receio da divulgação involuntária de atividades online, como buscas e navegação, pode criar um efeito inibidor, dissuadindo uma pessoa de acessar informações, especialmente quando tal vigilância leva a resultados repressivos. O conhecimento, ou mesmo a percepção, de estar sendo vigiado pode levar à autocensura. Consequentemente, a jurisprudência emergente sobre vigilância das comunicações tem frequentemente dedicado especial atenção às considerações relativas à liberdade de imprensa.

• Reino Unido: Dentro Big Brother Watch e outros contra o Reino Unido A Grande Câmara do Tribunal Europeu dos Direitos Humanos constatou inter alia que o regime de vigilância em massa do Reino Unido contrariava o artigo 10 da Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais, uma vez que não protegia adequadamente o material jornalístico confidencial da recolha e inspeção no âmbito da monitorização em massa de dados de comunicações realizada pelas agências de informações do Reino Unido.
• África do Sul: Dentro Centro amaBhungane para Jornalismo Investigativo NPC e Outro v Ministro da Justiça e Serviços Correcionais e Outros (Discutido com mais detalhes abaixo), o Tribunal Superior da África do Sul concluiu que a necessidade de jornalistas e suas fontes por comunicações confidenciais exigia proteções especiais contra abusos de vigilância, observando que:

Num país tão assolado pela corrupção, tanto nas instituições públicas quanto nas privadas, como o nosso, e onde a revelação de irregularidades depende significativamente do trabalho de jornalistas investigativos, num campo aparentemente vazio, é hipócrita elogiar a imprensa e ignorar a sua necessidade específica de ser um pilar eficaz do processo democrático.

• India: Dentro Sharma contra União da Índia O Supremo Tribunal da Índia, ao ordenar uma investigação independente sobre as alegações de que o governo utilizou o spyware Pegasus contra vários jornalistas, políticos e dissidentes, concluiu de forma semelhante que a função democrática da imprensa livre estava em risco e que “tal efeito inibidor sobre a liberdade de expressão constitui um ataque ao papel vital de fiscalização pública da imprensa, o que pode prejudicar a capacidade da imprensa de fornecer informações precisas e confiáveis”.44Embora as conclusões da investigação do Tribunal não tenham sido divulgadas, surgiram posteriormente provas da utilização contínua do software Pegasus para vigiar jornalistas.45)

Observou-se que muitas estruturas estabelecem uma distinção legal entre informações de comunicação consideradas "conteúdo" e informações que são... sobre A comunicação (dados de comunicação ou metadados). Esta segunda categoria está frequentemente sujeita a menos proteções legais e sociais do que as informações consideradas "conteúdo". No entanto, os dados de comunicação podem fornecer informações detalhadas sobre o comportamento, os relacionamentos sociais, as preferências privadas e a identidade de uma pessoa – seja quando analisados ​​em conjunto ou, em alguns casos, em partes individuais.⁴⁶ Além disso, as duas distinções legais são arbitrárias e inadequadas para muitos tipos de informação de comunicação no contexto da era digital moderna, onde certos tipos de dados poderiam se enquadrar em qualquer uma das categorias legais.⁴⁷

O Comentário Geral nº 16 ao Pacto Internacional dos Direitos Civis e Políticos estabelece que “[a] vigilância, seja eletrônica ou de outra natureza, as interceptações de comunicações telefônicas, telegráficas e outras formas de comunicação, a escuta telefônica e a gravação de conversas devem ser proibidas”.⁵¹ Na era digital, as Tecnologias da Informação e Comunicação (TICs) ampliaram a capacidade de governos, empresas e indivíduos de realizar vigilância, interceptação e coleta de dados, e fizeram com que a eficácia dessa vigilância não esteja mais limitada pela escala ou duração. A vigilância – tanto a coleta em massa de dados quanto a coleta direcionada – interfere diretamente na privacidade e na segurança necessárias à liberdade de opinião e expressão. Assim, em todas as suas formas, a vigilância deve ser considerada à luz do teste tripartite estabelecido pelo direito internacional para avaliar a permissibilidade de uma restrição aos direitos humanos, ou seja, que a limitação seja:

• Conforme previsto em lei.
• Persegue um objetivo legítimo.
• Necessário e proporcional para atingir o objetivo.

Para atender à condição de legalidade, muitos estados tomaram medidas para reformar suas leis de vigilância, permitindo os poderes necessários para a realização de atividades de vigilância. Por exemplo, no julgamento de Centro amaBhungane para Jornalismo Investigativo NPC e Outro v Ministro da Justiça e Serviços Correcionais e OutrosO Tribunal Constitucional da África do Sul confirmou uma decisão do Tribunal Superior que considerava ilegal a prática de vigilância em massa na África do Sul devido à ausência de qualquer estrutura legal que autorizasse tal vigilância.⁵²

Necessário e proporcional

Os Princípios Necessários e Proporcionais são um conjunto de 13 princípios internacionais sobre a aplicação dos direitos humanos à vigilância das comunicações, especialmente no contexto das crescentes capacidades de vigilância em massa demonstradas por Estados e operadores do setor privado na era digital moderna.⁵³ Os princípios recomendam, entre outras coisas, que todos os poderes de vigilância das comunicações sejam prescritos e regulamentados por lei, sejam necessários e proporcionais, busquem um objetivo legítimo e estejam sujeitos a certas salvaguardas, incluindo a submissão desses poderes a uma autoridade judicial competente e a adoção das medidas necessárias de transparência e supervisão pública.

O princípio 3 estabelece necessidadeO Princípio 5 estabelece que as leis, regulamentos, atividades, poderes ou autoridades de vigilância devem ser limitados àqueles que sejam estritamente e comprovadamente necessários para atingir um objetivo legítimo. Assim, a vigilância só deve ser realizada quando for o único meio de atingir um objetivo legítimo ou, quando houver múltiplos meios, quando for o meio com menor probabilidade de infringir os direitos humanos. O ônus de comprovar essa justificativa recai sobre o Estado. proporcionalidadeA vigilância deve ser considerada um ato altamente intrusivo e, para atingir o limiar da proporcionalidade, o Estado deve ser obrigado, no mínimo, a fornecer as seguintes informações a uma autoridade judicial competente antes de realizar qualquer vigilância das comunicações:54)

• Existe um alto grau de probabilidade de que um crime grave ou uma ameaça específica a um objetivo legítimo tenha sido ou venha a ser cometido.
• Existe uma alta probabilidade de que, acessando as informações protegidas solicitadas, sejam obtidas evidências relevantes e pertinentes a um crime tão grave ou a uma ameaça específica a um objetivo legítimo.
• Outras técnicas menos invasivas foram esgotadas ou seriam inúteis, de modo que a técnica utilizada é a opção menos invasiva.
• As informações acessadas serão limitadas àquelas relevantes e pertinentes ao crime grave ou à ameaça específica a um objetivo legítimo alegada.
• Qualquer informação excedente coletada não será retida, mas sim destruída ou devolvida imediatamente.
• As informações serão acessadas apenas pela autoridade especificada e utilizadas somente para a finalidade e pelo período para os quais a autorização foi concedida.
• As atividades de vigilância solicitadas e as técnicas propostas não comprometem a essência do direito à privacidade nem das liberdades fundamentais.

Salvaguardas e supervisão

A Privacy International estabelece as seguintes dez salvaguardas que devem ser implementadas em qualquer regime governamental de espionagem ou vigilância:55)

• LegalidadeOs poderes governamentais de espionagem cibernética devem ser explicitamente previstos em lei e limitados àqueles estritamente e comprovadamente necessários para atingir um objetivo legítimo. Essa lei deve ser acessível ao público e suficientemente clara e precisa para permitir que as pessoas prevejam sua aplicação e a extensão da interferência. Ela deve estar sujeita a revisão periódica por meio de um processo legislativo participativo.
• Segurança e integridade dos sistemasAntes de executar uma medida de ataque cibernético, as autoridades governamentais devem avaliar os riscos e danos potenciais à segurança e integridade do sistema alvo e dos sistemas em geral, bem como dos dados presentes no sistema alvo e nos sistemas em geral, e como esses riscos e/ou danos serão mitigados ou corrigidos. As autoridades governamentais devem incluir essa avaliação em qualquer solicitação de autorização para uma medida de ataque cibernético proposta. As autoridades governamentais não devem compelir fabricantes de hardware ou software ou provedores de serviços a facilitar ataques cibernéticos governamentais, inclusive comprometendo a segurança e a integridade de seus produtos e serviços.
• Necessidade e proporcionalidadeAntes de implementar uma medida de invasão cibernética, as autoridades governamentais devem, no mínimo, estabelecer um alto grau de probabilidade de que: (i) um crime grave ou ato(s) que representem uma ameaça específica e grave à segurança nacional tenha sido ou venha a ser cometido(s); (ii) o sistema utilizado pela pessoa suspeita de cometer o crime grave ou ato(s) que representem uma ameaça específica e grave à segurança nacional contenha evidências relevantes e pertinentes ao crime grave ou ato(s) que representem uma ameaça específica e grave à segurança nacional alegado(s); e (iii) evidências relevantes e pertinentes ao crime grave ou ato(s) que representem uma ameaça específica e grave à segurança nacional alegado(s) serão obtidas por meio da invasão do sistema alvo.
• Autorização judicialAntes de implementar qualquer medida de segurança cibernética, as autoridades governamentais devem apresentar um pedido, justificando a necessidade e a proporcionalidade da medida proposta, a uma autoridade judicial imparcial e independente. Esta autoridade deverá determinar se aprova ou não a medida e supervisionar a sua implementação. A autoridade judicial deve poder consultar especialistas técnicos nas tecnologias relevantes, que a auxiliem a compreender como a medida proposta afetará o sistema alvo e os sistemas em geral, bem como os dados nele contidos. A autoridade judicial deve também poder consultar especialistas em privacidade e direitos humanos, que a auxiliem a compreender como a medida proposta afetará os direitos da pessoa alvo e de outras pessoas.
• Integridade da informaçãoAs autoridades governamentais não devem adicionar, alterar ou excluir dados no sistema alvo, exceto na medida tecnicamente necessária para executar a medida de invasão autorizada. Devem manter um registro de auditoria verificável de forma independente para documentar suas atividades de invasão, incluindo quaisquer adições, alterações ou exclusões necessárias. Quando as autoridades governamentais utilizarem dados obtidos por meio de uma medida de invasão autorizada, devem divulgar o método, a extensão e a duração da invasão, bem como o registro de auditoria, para que a pessoa alvo possa compreender a natureza dos dados obtidos e investigar adições, alterações ou exclusões de informações ou violações da cadeia de custódia, conforme o caso.
• NotificaçãoAs autoridades governamentais devem notificar a(s) pessoa(s) cujo(s) sistema(s) tenha(m) sido alvo de interferência em virtude de uma medida de segurança cibernética autorizada, independentemente de onde a(s) pessoa(s) resida(s), de que as autoridades interferiram em tal(is) sistema(s). As autoridades governamentais também devem notificar os fabricantes de software e hardware e os prestadores de serviços afetados, com detalhes sobre o método, a extensão e a duração da medida de segurança cibernética, incluindo as configurações específicas do sistema alvo. O atraso na notificação só se justifica quando a notificação comprometer seriamente a finalidade para a qual a medida de segurança cibernética foi autorizada ou quando houver risco iminente de perigo para a vida humana e a autorização para atrasar a notificação for concedida por uma autoridade judicial imparcial e independente.
• Destruição e devolução de dadosAs autoridades governamentais devem destruir imediatamente quaisquer dados irrelevantes ou imateriais obtidos por meio de uma medida de invasão autorizada. Essa destruição deve ser registrada em um histórico de auditoria verificável de forma independente, que documente as atividades de invasão. Após as autoridades governamentais utilizarem os dados obtidos por meio de uma medida de invasão autorizada para a finalidade para a qual a autorização foi concedida, elas devem devolver esses dados à pessoa alvo e destruir quaisquer outras cópias dos dados.
• Supervisão e transparênciaAs autoridades governamentais devem ser transparentes quanto ao alcance e uso de seus poderes e atividades de hacking, submetendo esses poderes e atividades a uma supervisão independente. Devem publicar regularmente, no mínimo, informações sobre o número de pedidos de autorização de hacking aprovados e rejeitados; a identidade das autoridades governamentais solicitantes; os crimes especificados nos pedidos; e o método, a extensão e a duração das medidas de hacking autorizadas, incluindo as configurações específicas dos sistemas-alvo.
• ExtraterritorialidadeAo realizar uma ação de espionagem cibernética extraterritorial, as autoridades governamentais devem sempre cumprir suas obrigações legais internacionais, incluindo os princípios da soberania e da não intervenção, que expressam limitações ao exercício da jurisdição extraterritorial. As autoridades governamentais não devem usar a espionagem cibernética para contornar outros mecanismos legais – como tratados de assistência jurídica mútua ou outros mecanismos baseados em consentimento – para obter dados localizados fora de seu território. Esses mecanismos devem ser claramente documentados, de acesso público e sujeitos a garantias de imparcialidade processual e material.
• Remédio eficaz: As pessoas que foram vítimas de ataques cibernéticos ilegais por parte do governo, independentemente de onde residam, devem ter acesso a uma solução eficaz.

gravações secretas

Existem diversas leis nacionais e normas internacionais que exigem que os indivíduos sejam notificados sobre gravações secretas, incluindo vigilância por vídeo.58No entanto, não existe uma posição consistente sobre esta questão. Há duas decisões recentes importantes da Grande Câmara do Tribunal Europeu dos Direitos Humanos que são relevantes a este respeito:59)

• Antović e Mirković v Montenegro:⁶⁰ Este caso dizia respeito a uma queixa de invasão de privacidade apresentada por dois professores da Faculdade de Matemática da Universidade de Montenegro, após a instalação de videovigilância nas áreas onde lecionavam. Eles alegaram não ter qualquer controlo efetivo sobre as informações recolhidas e que a vigilância era ilegal. Os tribunais nacionais rejeitaram o pedido de indemnização, considerando que a questão da vida privada não estava em causa, uma vez que os auditórios onde os requerentes lecionavam eram espaços públicos. O Tribunal Europeu dos Direitos Humanos (TEDH) chegou às seguintes conclusões:
  • O tribunal considerou que houve violação do artigo 8.º da Convenção Europeia, concluindo que a vigilância por câmara não estava em conformidade com a lei.
  • O Tribunal Europeu dos Direitos Humanos rejeitou o argumento do governo de que o caso era inadmissível porque não havia qualquer questão de privacidade em causa, uma vez que a área sob vigilância era uma área pública de trabalho, observando que já havia decidido anteriormente que a vida privada poderia incluir atividades profissionais e considerou que tal se aplicava à situação dos requerentes. O artigo 8.º da Convenção Europeia era, portanto, aplicável.
  • Quanto ao mérito da causa, o Tribunal Europeu dos Direitos Humanos (TEDH) concluiu que a vigilância por câmeras constituiu uma violação do direito à privacidade dos requerentes e que as provas demonstraram que a vigilância violou as disposições da legislação nacional. Segundo o TEDH, os tribunais nacionais não consideraram qualquer justificativa legal para a vigilância, pois decidiram desde o início que não houve invasão de privacidade.
• Ribalda e outros contra a Espanha:(61Este caso dizia respeito à vigilância secreta por vídeo de um grupo de funcionários de um supermercado, que levou à sua demissão. Os requerentes reclamaram da vigilância secreta por vídeo e da utilização das imagens pelos tribunais espanhóis para considerar as suas demissões justas. Vários requerentes que tinham assinado acordos de rescisão também reclamaram que os acordos foram celebrados sob coação devido ao material em vídeo e que não deveriam ter sido aceites como prova de que as suas demissões foram justas. A Grande Câmara chegou às seguintes conclusões:
  • O tribunal considerou que não houve violação do artigo 8.º da Convenção Europeia relativamente aos cinco requerentes. Em particular, concluiu que os tribunais espanhóis ponderaram cuidadosamente os direitos dos requerentes – que eram suspeitos de furto por parte do seu empregador – e os do empregador, tendo examinado minuciosamente a justificação para a videovigilância.
  • Um dos principais argumentos dos requerentes foi que não lhes havia sido dado aviso prévio da vigilância, apesar de tal exigência legal, mas o Tribunal Europeu dos Direitos Humanos considerou que a medida era justificada devido a uma suspeita razoável de conduta grave e às perdas envolvidas, levando em conta a extensão e as consequências da medida.
  • O Tribunal Europeu dos Direitos Humanos concluiu que, no presente caso, os tribunais nacionais não excederam o seu poder discricionário ou a sua margem de apreciação ao considerarem que a vigilância por vídeo secreta era proporcional e legítima.

Em relação aos meios de comunicação, considerações de interesse público e o estatuto público dos indivíduos são fundamentais para determinar se uma informação deve ser publicada. Isso foi afirmado, por exemplo, em Rádio Twist x Eslováquia,(62) onde o Tribunal Europeu dos Direitos Humanos teve motivos para considerar a gravação ilegal de uma chamada telefônica que havia sido transmitida no rádio. A gravação era de uma conversa entre vários altos funcionários do governo sobre a privatização de uma seguradora. A gravação havia sido compartilhada anonimamente com a emissora de rádio. O Tribunal Europeu dos Direitos Humanos levou em consideração, em particular, o contexto e o conteúdo da conversa, que eram claramente de natureza política, e o assunto da conversa era de interesse geral.63Quanto à questão de saber se a gravação era ilegal, o Tribunal Europeu dos Direitos Humanos afirmou que não estava convencido de que o mero fato de a gravação ter sido obtida por terceiros em desacordo com a lei justificasse a privação do direito do requerente à liberdade de expressão.⁶⁴ O Tribunal Europeu dos Direitos Humanos, portanto, decidiu que a estação de rádio não violou os direitos das pessoas que foram gravadas.

O Princípio 12(a) dos Princípios Globais lista os seguintes fatores a serem considerados no equilíbrio entre os direitos à liberdade de expressão e à privacidade, em situações relativas à publicação de informações pessoais:

• A medida em que a publicação contribui para um debate de interesse público; o grau de notoriedade ou vulnerabilidade da pessoa afetada;
• O tema abordado na publicação e o grau de privacidade das informações em questão;
• A conduta anterior da pessoa em questão;
• O conteúdo, a forma e as consequências da publicação;
• A forma como a informação foi obtida;
• A intenção do indivíduo ou entidade que divulgou a informação em questão, e em particular se essa intenção era maliciosa; e
• O grau em que o indivíduo cuja privacidade está em questão é uma figura pública.68)

Além disso, o Princípio 12 estabelece que, ao lidar com a publicação de fotografias, vídeos ou gravações de áudio, deve-se considerar se a gravação foi feita voluntariamente e com consentimento. O uso de técnicas invasivas à privacidade, como câmeras escondidas ou reportagens investigativas, só deve ser permitido quando houver um interesse público preponderante na divulgação da informação buscada ou descoberta, que não poderia ter sido obtida por meios menos invasivos, e quando forem feitos esforços para abordar ou minimizar quaisquer implicações para a privacidade.⁶⁹

Coleta de dados biométricos e reconhecimento facial

Apesar do uso incipiente da biometria, incluindo a tecnologia de reconhecimento facial (TRF), muitos estados africanos carecem de medidas regulatórias suficientes.⁷⁰ Em vez disso, em vários casos, as autoridades estão caminhando para a integração da vigilância biométrica nos sistemas de registro de cartões SIM, uma preocupação antiga dos defensores dos direitos digitais. Por exemplo:

• In MalauiO Sistema Nacional de Registro e Identificação está em funcionamento desde 2017, vinculando dados biométricos ao cadastro eleitoral, à arrecadação de impostos, aos registros de imigração e ao cadastro de cartões SIM, bem como a programas de inclusão financeira e bancária.⁷¹ Este sistema, criticado pela coleta massiva de dados sem legislação de proteção de dados, possibilita a vigilância em larga escala.
• Do mesmo modo, Tanzânia O regulamento de Comunicações Eletrônicas e Postais (Registro de Cartão SIM) de 2020 exige o registro do cartão SIM, requerendo verificação no banco de dados da Autoridade Nacional de Identificação (NIDA).⁷²

Registro obrigatório do cartão SIM

O registro obrigatório do cartão SIM é uma política amplamente difundida que exige o cadastro com nome verdadeiro para atividades online.⁷³ As leis de registro obrigatório de cartões SIM geralmente exigem que as pessoas vinculem sua identidade ao cartão SIM para ativá-lo, fornecendo informações pessoais, como um documento de identidade válido, comprovante de endereço ou dados biométricos, ao comprar um cartão SIM para um dispositivo móvel.⁷⁴ Conforme observado pela Privacy International, “[o] uso de cartões SIM pré-pagos e as leis de registro obrigatório de cartões SIM são especialmente disseminados em países africanos: esses dois fatores podem permitir um sistema mais abrangente de vigilância em massa de pessoas que têm acesso a cartões SIM pré-pagos, bem como a exclusão de importantes espaços cívicos, redes sociais, educação e assistência médica para pessoas que não têm acesso a esses serviços”.⁷⁵

O registro obrigatório de cartões SIM compromete seriamente a possibilidade de anonimato online. Foi explicado que: “Se quase todos os dispositivos móveis tiverem seus cartões SIM registrados em nome de uma pessoa específica, e o governo puder acessar as informações desses assinantes, as pessoas que possuem e usam esses dispositivos poderão ser rastreadas e monitoradas com mais facilidade. Nem todas as pessoas com dispositivos móveis estarão igualmente sob o olhar atento desses sistemas de vigilância: pessoas que defendem mudanças, pessoas que discordam das políticas governamentais, minorias religiosas ou étnicas, jornalistas e defensores dos direitos humanos são particularmente vulneráveis.”⁷⁶

Em 2022, pelo menos 51 países da África haviam introduzido leis ou regulamentos que obrigavam o registro de cartões SIM.⁷⁷ com as Lesoto e Namíbia Implantações a partir de 2022.78Entre os estados africanos, Cabo Verde e Comores Não foram relatadas políticas de registro de SIM que estavam sendo consideradas, enquanto a situação em Djibouti foi inconclusivo.79)

O reconhecimento facial é uma forma de sistema biométrico que suscita particular preocupação devido à sua utilização na vigilância.80A tecnologia de reconhecimento facial refere-se a uma ampla gama de softwares que podem ser conectados a redes de câmeras; o software analisa imagens e filmagens ao vivo ou gravadas de pessoas a partir de uma rede de câmeras e as compara com imagens em um banco de dados preexistente para identificar pessoas específicas nas filmagens.81Conforme observado pela Privacy International, as câmeras de reconhecimento facial são muito mais invasivas do que as câmeras de segurança comuns: elas escaneiam características distintas e específicas do seu rosto, como o formato, para criar um mapa detalhado dele – “o que significa que ser capturado por essas câmeras é como ter suas impressões digitais coletadas, sem o seu conhecimento ou consentimento”.82)

Nesse sentido, diferentemente de muitos outros sistemas biométricos, o reconhecimento facial pode ser usado para vigilância geral em combinação com câmeras de vídeo públicas, e pode ser usado de forma passiva, sem exigir o conhecimento, o consentimento ou a participação do indivíduo.84Conforme observado pela União Americana pelas Liberdades Civis (ACLU), isso cria o risco de a tecnologia ser usada para vigilância geral de uma população que não é suspeita de nenhum delito específico. Por exemplo, a maioria dos departamentos de trânsito possui fotografias de alta qualidade de um grande número de pessoas, o que pode ser uma fonte natural para programas de reconhecimento facial e poderia ser facilmente combinado com redes de câmeras de vigilância públicas ou privadas para criar um sistema abrangente de identificação e rastreamento. Órgãos de segurança pública também utilizam regularmente fotografias extraídas de redes sociais.

A Interpol observou que o reconhecimento facial computadorizado é uma tecnologia relativamente nova, introduzida por agências de aplicação da lei em todo o mundo para identificar pessoas de interesse, incluindo criminosos, fugitivos e pessoas desaparecidas.85O Sistema de Reconhecimento Facial da Interpol contém imagens faciais recebidas de mais de 160 países e, juntamente com um aplicativo de software biométrico automático, o sistema é capaz de identificar ou verificar uma pessoa comparando e analisando padrões, formas e proporções de suas características e contornos faciais.⁸⁶ Ao contrário das impressões digitais e do DNA, que não se alteram durante a vida de uma pessoa, o reconhecimento facial precisa levar em consideração diversos fatores, como envelhecimento, cirurgia plástica, uso de cosméticos, efeitos do abuso de drogas ou do tabagismo e a postura do indivíduo.⁸⁷

No entanto, a tecnologia de reconhecimento facial também tem sido associada a imprecisões e vieses que levantam sérias preocupações de discriminação. Um estudo encomendado por uma agência pública nos Estados Unidos encontrou "evidências empíricas" de que a maioria dos algoritmos de reconhecimento facial mais utilizados apresenta "diferenciais demográficos que podem piorar sua precisão com base na idade, sexo ou raça da pessoa".⁸⁸ Algumas das conclusões específicas incluíram o seguinte:

• Os sistemas de reconhecimento facial identificaram erroneamente pessoas de cor com mais frequência do que pessoas brancas. Pessoas asiáticas e afro-americanas apresentaram uma probabilidade até 100 vezes maior de serem identificadas erroneamente do que homens brancos, dependendo do algoritmo específico e do tipo de busca.
• Os rostos de mulheres afro-americanas eram identificados erroneamente com mais frequência nos tipos de buscas utilizadas por investigadores policiais, em que uma imagem é comparada a milhares ou milhões de outras na esperança de identificar um suspeito.
• As mulheres apresentaram maior probabilidade de serem identificadas erroneamente do que os homens, e os idosos e as crianças apresentaram maior probabilidade de serem identificados incorretamente do que aqueles em outras faixas etárias.

A Privacy International observa que o uso da tecnologia de reconhecimento facial impacta o exercício de pelo menos os seguintes direitos:⁸⁹

• Política de PrivaciadeSegundo a Privacy International, “[o] uso do reconhecimento facial em espaços públicos ridiculariza nossos direitos à privacidade”. Trata-se de uma técnica desproporcional de combate ao crime, pois escaneia o rosto de todas as pessoas que passam pela câmera, independentemente de serem ou não suspeitas de qualquer delito. Os dados biométricos coletados podem ser tão identificadores quanto o DNA ou uma impressão digital e, geralmente, são obtidos sem o consentimento ou conhecimento do titular dos dados.
• Liberdade de expressãoSer vigiado e identificado em espaços públicos provavelmente nos levará a mudar nosso comportamento, limitando os lugares que frequentamos, as atividades que realizamos e as pessoas com quem interagimos. Por exemplo, as pessoas podem se recusar a participar de um protesto específico se o reconhecimento facial estiver sendo usado na área.
• Igualdade e não discriminaçãoFoi constatado que o software de reconhecimento facial tem maior probabilidade de identificar erroneamente mulheres e pessoas negras. Há também preocupações de que a polícia utilize o reconhecimento facial para visar comunidades específicas.

A implementação da tecnologia de reconhecimento facial muitas vezes ocorre sem um arcabouço legal que a autorize e representa, sem dúvida, uma limitação desproporcional ao direito à privacidade e a outros direitos correlatos. Nesse sentido, potenciais ações judiciais para contestar o uso da tecnologia de reconhecimento facial podem buscar demonstrar que ela não atende aos critérios do teste de três partes para uma limitação justificável, mesmo quando utilizada para fins de segurança.

Criptografia e anonimato na Internet

A interação entre criptografia e anonimato

A criptografia e o anonimato são ferramentas necessárias para o pleno gozo dos direitos digitais e gozam de proteção em virtude de seu papel crucial na garantia dos direitos à liberdade de expressão e à privacidade. Conforme descrito pelo Relator Especial das Nações Unidas (REUNIÃOSobre a liberdade de expressão:⁹⁰

A criptografia e o anonimato, separadamente ou em conjunto, criam uma zona de privacidade para proteger opiniões e crenças. Por exemplo, permitem comunicações privadas e podem proteger uma opinião do escrutínio externo, o que é particularmente importante em ambientes políticos, sociais, religiosos e jurídicos hostis. Quando os Estados impõem censura ilegal por meio de filtragem e outras tecnologias, o uso da criptografia e do anonimato pode capacitar os indivíduos a contornar barreiras e acessar informações e ideias sem a intrusão das autoridades. Jornalistas, pesquisadores, advogados e a sociedade civil dependem da criptografia e do anonimato para se protegerem (e protegerem suas fontes, clientes e parceiros) da vigilância e do assédio. A capacidade de pesquisar na internet, desenvolver ideias e se comunicar com segurança pode ser a única maneira pela qual muitos podem explorar aspectos básicos da identidade, como gênero, religião, etnia, nacionalidade ou sexualidade. Artistas dependem da criptografia e do anonimato para salvaguardar e proteger seu direito à expressão, especialmente em situações em que não é apenas o Estado que cria limitações, mas também a sociedade que não tolera opiniões ou expressões não convencionais.

A criptografia e o anonimato são especialmente úteis para o desenvolvimento e compartilhamento de opiniões online, particularmente em circunstâncias em que uma pessoa teme que suas comunicações possam estar sujeitas a interferência ou ataque por agentes estatais ou não estatais. Portanto, essas são ferramentas específicas por meio das quais os indivíduos podem exercer seus direitos. Consequentemente, as restrições à criptografia e ao anonimato devem atender ao teste de três partes para justificar a restrição.

De acordo com o Relatório da ONU sobre Liberdade de Expressão, embora a criptografia e o anonimato possam frustrar as autoridades policiais e antiterroristas e complicar a vigilância, as autoridades estatais geralmente não conseguiram fornecer justificativas públicas adequadas para apoiar quaisquer restrições relevantes ou para identificar situações em que a restrição tenha sido necessária para atingir um objetivo legítimo.⁹¹ O Representante Especial da ONU sobre Liberdade de Expressão, portanto, apelou aos Estados para que promovam a criptografia forte e o anonimato, e observou que as ordens de descriptografia só devem ser permitidas quando resultarem de leis transparentes e publicamente acessíveis, aplicadas exclusivamente de forma direcionada, caso a caso, a indivíduos (e não a uma massa de pessoas), e sujeitas a mandado judicial e à proteção dos direitos ao devido processo legal.92)

Criptografia

A criptografia refere-se a um processo matemático de conversão de mensagens, informações ou dados em um formato ilegível para qualquer pessoa, exceto o destinatário pretendido, protegendo assim a confidencialidade e a integridade do conteúdo contra o acesso ou manipulação por terceiros.93Com a “criptografia de chave pública” – a forma dominante de segurança de ponta a ponta para dados em trânsito – o remetente usa a chave pública do destinatário para criptografar a mensagem e seus anexos, e o destinatário usa sua própria chave privada para descriptografá-los.⁹⁴ Também é possível criptografar dados em repouso armazenados em um dispositivo, como um laptop ou um disco rígido.⁹⁵

A proibição total do uso individual de tecnologia de criptografia restringe desproporcionalmente o direito à liberdade de expressão, pois priva todos os usuários online em uma determinada jurisdição do direito de criar um espaço seguro para opinião e expressão.⁹⁶ Da mesma forma, a regulamentação estatal da criptografia pode equivaler a uma proibição, por exemplo, exigindo licenças para o uso da criptografia, estabelecendo padrões técnicos fracos para criptografia ou controlando a importação e exportação de ferramentas de criptografia.97)

Cabe ainda observar que alguns Estados implementaram – ou propuseram implementar – o chamado "acesso por porta dos fundos" em produtos disponíveis comercialmente, forçando os desenvolvedores a inserir vulnerabilidades que permitem às autoridades governamentais acessar comunicações criptografadas. Embora os Estados que apoiam tais medidas geralmente aleguem que essa estrutura é necessária para interceptar o conteúdo das comunicações criptografadas, o Relatório da ONU sobre Liberdade de Expressão observa que esses Estados não conseguiram demonstrar que o uso criminoso ou terrorista da criptografia constitui um obstáculo intransponível aos objetivos da aplicação da lei.⁹⁸ Criar um mecanismo intencional que permita a um Estado contornar medidas de segurança comprometeria inevitavelmente a segurança de todos os usuários online, tanto em relação a atores estatais quanto não estatais.99)

Além disso, a criptografia desempenha um papel fundamental na proteção de dados. Observou-se que as empresas podem reduzir tanto a probabilidade quanto os danos de uma violação de dados e, assim, diminuir o risco de multas futuras, caso optem por criptografar quaisquer dados pessoais que possuam.100)

A criptografia de dados pessoais oferece benefícios adicionais para controladores ou processadores; por exemplo, a perda de um dispositivo de armazenamento móvel criptografado de última geração que contenha dados pessoais pode não ser necessariamente considerada uma violação de dados que deva ser comunicada à autoridade de proteção de dados.101Além disso, em caso de violação de dados, as autoridades devem considerar positivamente o uso de criptografia em sua decisão sobre se e qual o valor da multa a ser aplicada, conforme o artigo 83.²(c) do RGPD.(102)

Em 2018, as Autoridades de Proteção de Dados da UE, representadas no Grupo de Trabalho do Artigo 29 (WP29), publicou uma declaração que enquadra a criptografia forte e eficiente como uma ferramenta vital para defender a proteção de dados e os direitos à privacidade(103), destacando três pontos principais:

• A criptografia robusta garante um fluxo de dados seguro e irrestrito entre cidadãos, empresas e governos: O Grupo de Trabalho do Artigo 29 (GT29) observou que existe um forte interesse público na implementação da criptografia, visto que é crucial garantir, de forma razoável, que atividades cotidianas – como comprar produtos online, declarar impostos, usar serviços bancários, enviar ou receber e-mails ou marcar uma consulta médica – possam ser realizadas com segurança. O GT29 descreveu a criptografia como “absolutamente necessária e insubstituível para garantir forte confidencialidade e integridade quando os dados são transferidos por redes abertas como a Internet ou armazenados em dispositivos móveis como smartphones”. Segundo o GT29, o ideal é que a criptografia sempre cubra toda a comunicação, do dispositivo do remetente ao do destinatário, o que é comumente chamado de criptografia de ponta a ponta.
• Backdoors e chaves mestras privam a criptografia de sua utilidade: O Grupo de Trabalho do Artigo 29 (GT29) contestou o argumento de que as autoridades policiais deveriam ter acesso aos dados criptografados de suspeitos de crimes, exigindo que os fornecedores de tecnologia implementassem "portas traseiras" (ou seja, vulnerabilidades de segurança deliberadamente incorporadas a um software específico) ou "chaves mestras" (ou seja, recursos de design que permitam a descriptografia centralizada de todos os dados criptografados com um software específico) em seus softwares de criptografia. O GT29 argumentou que há evidências históricas significativas de que chaves mestras e portas traseiras não podem ser mantidas em segurança e que não há como implementar esses recursos tecnológicos em larga escala sem riscos significativos de comprometer a segurança das pessoas. O GT29 também expressou preocupação com o fato de que impor portas traseiras e chaves mestras à população em geral não seria uma medida eficaz contra criminosos, já que estes utilizariam ou se adaptariam à criptografia de ponta para proteger seus dados, o que, por sua vez, prejudicaria o cidadão comum, tornando seus dados vulneráveis.
• As agências de aplicação da lei já possuem poderes legais e ferramentas específicas para lidar com o desafio da criptografia: Segundo o Grupo de Trabalho do Artigo 29 (GT29), as agências de aplicação da lei podem ser legalmente autorizadas de outras maneiras a obter acesso a dados criptografados, incluindo dados pessoais, para investigações em circunstâncias específicas. Embora esses poderes possam suscitar sérias preocupações com a privacidade, o GT29 argumenta que eles parecem mais proporcionais e menos perigosos do que backdoors ou chaves mestras.

Com base no exposto, o Grupo de Trabalho do Artigo 29 (WP29) concluiu que a criptografia deve permanecer padronizada, forte e eficiente, e que os provedores de criptografia nunca devem ser obrigados a incluir chaves mestras e backdoors em seus softwares.

Anonimato

Em contextos digitais, o anonimato pode ser definido como agir ou comunicar sem usar ou apresentar o próprio nome ou identidade, como agir ou comunicar de forma a proteger a determinação do próprio nome ou identidade, ou como usar um nome inventado ou assumido que pode não estar necessariamente associado à identidade legal ou consuetudinária da pessoa.104O anonimato pode ser distinguido do pseudoanonimato: o primeiro refere-se a não adotar nenhum nome, enquanto o segundo refere-se a adotar um nome falso.105)

O anonimato tem sido reconhecido pelo importante papel que desempenha na proteção e promoção da privacidade, da liberdade de expressão, da responsabilidade política, da participação pública e do debate. Conforme explica a União Americana pelas Liberdades Civis (ACLU).ACLU) :(106)

O direito ao anonimato é um componente fundamental do nosso direito à liberdade de expressão, e aplica-se tanto no mundo digital quanto no físico. Nas palavras da Suprema Corte dos EUA em McIntyre contra a Comissão Eleitoral de Ohio“O anonimato é um escudo contra a tirania da maioria.”

Infelizmente, o direito ao anonimato tem sido alvo de ataques constantes no mundo online. Governos e empresas têm tentado desmascarar palestrantes impopulares por meio de intimações direcionadas aos sites que eles visitam.

O anonimato é especialmente crítico em ambientes repressivos nos quais certos tipos de expressão protegida são proibidos, e a falta de anonimato pode levar a acusações criminais ou outras consequências.107As tentativas de proibir o discurso anônimo têm sido vistas, particularmente durante períodos de protesto, como uma medida direcionada a manifestantes e ativistas.108)

A responsabilidade dos intermediários volta a ser motivo de preocupação em relação aos usuários anônimos, visto que alguns estados têm adotado medidas para impor responsabilidades aos provedores de serviços de internet (ISPs) e às plataformas de mídia na regulamentação dos comentários online feitos por usuários anônimos. Por exemplo, em Delfi x EstôniaO Tribunal Europeu dos Direitos Humanos confirmou uma lei estoniana que responsabiliza uma plataforma de mídia por declarações difamatórias anônimas publicadas em seu site.109Contudo, o Tribunal Europeu dos Direitos Humanos também defendeu que, embora não haja garantia absoluta de anonimato online, o direito à liberdade de expressão deve ser levado em consideração nas decisões de revogação do anonimato. Isso fundamentou a decisão do Tribunal Europeu dos Direitos Humanos, em 2021, de que um site de notícias austríaco não deveria ter sido obrigado a divulgar a identidade de comentaristas online que haviam publicado mensagens ofensivas e de ódio na plataforma.110Em suas alegações como terceiro interessado nesse caso, a Media Defence argumentou anteriormente que um tribunal só deveria ordenar que um provedor de serviços de internet divulgasse dados do usuário nos seguintes casos:111)

• O requerente deve ser capaz de demonstrar, em grau suficiente, que um ato ilícito foi cometido contra ele e que a informação é solicitada para que ele possa buscar reparação por esse ato ilícito;
• O usuário anônimo foi notificado e teve a oportunidade de responder à solicitação;
• Não existe meio menos restritivo de obter a informação procurada; e
• O interesse do requerente na divulgação foi suficientemente ponderado em relação aos direitos à liberdade de expressão e à privacidade.

Proteção de fontes e proteção de materiais jornalísticos

A confidencialidade das fontes jornalísticas é fundamental para a capacidade dos jornalistas de investigarem as notícias adequadamente e para a proteção dos indivíduos e denunciantes que lhes fornecem informações.112) Os esforços para obrigar a divulgação das fontes têm um efeito inibidor sobre a liberdade de expressão e a liberdade dos meios de comunicação social e dificultam o livre fluxo de informação.(113)

A este respeito, o Comentário Geral nº 34 ao Pacto Internacional dos Direitos Civis e Políticos (PIDCP) estabelece que os Estados Partes “devem reconhecer e respeitar o elemento do direito à liberdade de expressão que abrange o privilégio jornalístico limitado de não revelar as fontes”. Além disso, a Comissão Africana dos Direitos Humanos e dos Povos publicou a Declaração de Princípios sobre a Liberdade de Expressão na África em 2019, que aborda a questão da proteção das fontes, dispondo o seguinte:

Jornalistas e outros profissionais da mídia não serão obrigados a revelar fontes confidenciais de informação ou a divulgar outros materiais mantidos para fins jornalísticos, exceto nos casos em que a divulgação for ordenada por um tribunal após uma audiência pública ampla e justa.(114)

A Declaração enfatiza que isso só deve ocorrer quando a identidade da fonte for necessária para a investigação ou o processo de um crime grave, quando a informação não puder ser obtida de outra forma e se o interesse público na divulgação superar o prejuízo à liberdade de expressão.

É importante notar que a proteção das fontes adquiriu nova importância na era digital, no contexto do direito à privacidade das comunicações, uma vez que as tecnologias de vigilância, cujo desenvolvimento se justifica em termos de segurança nacional, podem ser utilizadas para atingir jornalistas e suas fontes confidenciais.115O Secretário-Geral da ONU observou que as atividades de vigilância podem ter um efeito inibidor sobre a liberdade de imprensa e dificultam a comunicação dos jornalistas com suas fontes, bem como o compartilhamento e desenvolvimento de ideias, o que pode levar à autocensura.116Da mesma forma, uma resolução da Assembleia Geral da ONU sobre a segurança dos jornalistas enfatizou que os jornalistas na era digital são particularmente vulneráveis ​​a tornarem-se alvos de vigilância ilegal ou arbitrária, em violação dos seus direitos à privacidade e à liberdade de expressão.(117) A resolução observou ainda que as ferramentas de encriptação e anonimato se tornaram vitais para os jornalistas para protegerem as suas comunicações e a confidencialidade das suas fontes.

As atividades de vigilância realizadas contra jornalistas correm o risco de comprometer fundamentalmente a proteção das fontes à qual os jornalistas têm direito. O Princípio 9 dos Princípios Globais sobre a Proteção da Liberdade de Expressão e da Privacidade estabelece o seguinte sobre a proteção das fontes:

“9.1. O direito à liberdade de expressão implica que toda pessoa que obtém informações de fontes confidenciais com vistas ao exercício de uma atividade jornalística tem, sujeita aos Princípios 9.2 (a) e (b), o dever de não divulgar a identidade de suas fontes confidenciais e o direito de não ser obrigada a fazê-lo.

9.2. Os Estados devem prever a proteção da confidencialidade das fontes na sua legislação e garantir que:

(a) Qualquer restrição ao direito à proteção das fontes está em conformidade com o teste de três partes previsto no direito internacional dos direitos humanos…;

(b) A confidencialidade das fontes só deve ser levantada em circunstâncias excepcionais e apenas por ordem judicial, que cumpra os requisitos de uma finalidade legítima, necessidade e proporcionalidade. As mesmas proteções devem aplicar-se ao acesso ao material jornalístico;

(c) O direito de não divulgar a identidade das fontes e a proteção do material jornalístico exigem que a privacidade e a segurança das comunicações de qualquer pessoa envolvida em atividade jornalística, incluindo o acesso aos seus dados de comunicação e metadados, sejam protegidas. Não devem ser utilizadas manobras, como vigilância secreta ou análise de dados de comunicação não autorizadas pelas autoridades judiciais de acordo com regras legais claras e rigorosas, para comprometer a confidencialidade das fontes; e

(d) Qualquer ordem judicial ao abrigo de 9.2 (b) e (c) só deve ser concedida após uma audiência justa, onde tenha sido dado aviso prévio suficiente ao jornalista em questão, exceto em emergências genuínas.”

Além disso, a Organização das Nações Unidas para a Educação, a Ciência e a Cultura (UNESCO) estabeleceu que uma estrutura de proteção de fontes robusta e abrangente abrangeria a necessidade de:(120)

• Reconhecer o valor da proteção das fontes para o interesse público, com seu fundamento jurídico no direito à liberdade de expressão (incluindo a liberdade de imprensa) e à privacidade. Essas proteções também devem estar consagradas na constituição e/ou legislação nacional de um país.
• Reconhecer que a proteção da fonte deve abranger todos os atos jornalísticos e todas as plataformas, serviços e meios (de armazenamento e publicação de dados), incluindo dados digitais e metadados.
• Reconhecer que a proteção da fonte não implica o registro ou licenciamento de profissionais do jornalismo.
• Reconhecer o potencial impacto prejudicial no jornalismo de interesse público e na sociedade, caso informações relacionadas às fontes sejam afetadas pela gravação, rastreamento, armazenamento e coleta massiva de dados.
• Afirmar que os agentes estatais e corporativos (incluindo intermediários terceirizados) que capturam dados digitais jornalísticos devem tratá-los de forma confidencial (reconhecendo também a conveniência de que o armazenamento e o uso desses dados sejam compatíveis com o direito geral à privacidade).
• Proteger as atividades jornalísticas da vigilância direcionada, da retenção de dados e da entrega de material relacionado a fontes confidenciais.
• Defina exceções a tudo o que foi mencionado acima de forma muito restrita, a fim de preservar o princípio da proteção da fonte como norma e padrão efetivos.
• Defina exceções como aquelas que precisam estar em conformidade com uma disposição de "necessidade" e "proporcionalidade" — em outras palavras, quando não há alternativa à divulgação, quando há um interesse público maior na divulgação do que na proteção e quando os termos e a extensão da divulgação ainda preservam a confidencialidade o máximo possível.
• Definir um processo judicial transparente e independente, com possibilidade de recurso para exceções autorizadas, e garantir que os agentes da lei e os atores judiciais sejam instruídos sobre os princípios envolvidos.
• Criminalizar violações arbitrárias, não autorizadas e intencionais da confidencialidade de fontes por terceiros.
• Reconhecer que as leis de proteção da fonte podem ser reforçadas por uma legislação complementar de proteção aos denunciantes.

A UNESCO observou ainda que existe uma dimensão de gênero específica que surge em relação à proteção de fontes na era digital. As mulheres jornalistas enfrentam riscos adicionais no exercício de seu trabalho, tanto online quanto offline: no âmbito físico, esses riscos incluem assédio sexual, agressão física e estupro, o que pode limitar sua mobilidade física; e na esfera digital, atos de assédio e ameaças de violência são frequentes.121Da mesma forma, as fontes femininas enfrentam riscos maiores quando atuam como denunciantes ou informantes confidenciais.122Assim sendo, as jornalistas precisam poder contar com formas seguras e não físicas de comunicação com suas fontes, em particular comunicações digitais seguras, para poderem interagir com elas.123)

Assédio Online

O assédio, as ameaças e a violência online restringem severamente o exercício dos direitos online, especialmente de grupos vulneráveis ​​e marginalizados, incluindo mulheres e membros de minorias sexuais.

As plataformas de redes sociais são um terreno especialmente fértil para o assédio online, mas esses comportamentos ocorrem em uma ampla gama de espaços online.126Para quem sofre assédio online diretamente, esses encontros podem ter consequências profundas no mundo real, que vão desde estresse mental ou emocional a danos à reputação ou mesmo medo pela segurança pessoal. Além disso, seja afetado direta ou indiretamente, o assédio pode levar a uma significativa autocensura para evitar ser alvo de novas tentativas.

Embora a internet ofereça um fórum para que as pessoas busquem informações sobre suas identidades e orientação sexual, e se expressem sobre esses temas, muitas sofrem uma ampla gama de ataques ao fazê-lo, incluindo ataques à sexualidade, exposição de informações pessoais e manipulação de imagens que são então usadas para chantagem e destruição de credibilidade. Além disso, uma tendência comum entre crianças que usam a internet envolve o chamado "cyberbullying". Pesquisas mostram que o assédio online geralmente se concentra em características pessoais ou físicas, sendo opiniões políticas, gênero, aparência física e raça algumas das mais comuns.127Além disso, as mulheres enfrentam formas de assédio online de cunho sexual em taxas muito mais elevadas do que os homens.128)

Uma forma específica de assédio online, geralmente contra mulheres, é a publicação não consensual de fotografias ou vídeos íntimos ou sexualmente explícitos de uma pessoa. Isso constitui uma grave violação da privacidade, frequentemente com o objetivo de extorsão, chantagem e/ou humilhação. Diversas leis de crimes cibernéticos recentemente promulgadas na África Austral criminalizam a distribuição não consensual de fotografias e vídeos sexuais privados – principalmente em Botsuana e na África do Sul.129)

O assédio e os ataques contínuos contra membros da mídia tornaram-se uma tendência particularmente preocupante. Conforme declarado no preâmbulo da Resolução de 2011 da Comissão Africana sobre a Segurança de Jornalistas e Profissionais da Mídia na África.130A liberdade de expressão, a liberdade de imprensa e o acesso à informação só podem ser desfrutados quando jornalistas e profissionais da mídia estão livres de intimidação, pressão e coerção.

Sem dúvida, um dos principais desafios reside em fazer com que legisladores e autoridades policiais reconheçam a gravidade de tais assédios e ameaças, e que os tratem com a devida atenção, reconhecendo que o dano real e persistente sofrido se aplica tanto ao ambiente online quanto ao offline. Outros dois desafios que surgem e são exacerbados no âmbito online dizem respeito ao volume de ameaças que podem ser recebidas, dada a relativa facilidade com que isso pode ser feito por meio de plataformas de mídias sociais, por exemplo; e às dificuldades concomitantes em identificar os agressores, que por vezes conseguem mascarar suas identidades online.

Isso se relaciona com a questão do anonimato online. Isso ocorre porque um dos desafios específicos do assédio online é que os agressores podem mascarar suas identidades, dificultando sua prisão pelas autoridades policiais. No entanto, isso não deve ser considerado uma base suficiente para permitir uma proibição total do anonimato ou da criptografia online. O Representante Especial da ONU para a Liberdade de Expressão respondeu a essa preocupação e declarou que:131)

O lado “sombrio” da criptografia e do anonimato reflete o fato de que crimes cometidos fora do mundo real também ocorrem online. Autoridades policiais e antiterroristas expressam preocupação com o fato de terroristas e criminosos comuns utilizarem criptografia e anonimato para ocultar suas atividades, dificultando o trabalho dos governos na prevenção e investigação de terrorismo, tráfico de drogas, crime organizado e pornografia infantil, entre outros objetivos governamentais. Assédio e cyberbullying podem se valer do anonimato como uma máscara covarde para discriminação, especialmente contra membros de grupos vulneráveis. Ao mesmo tempo, porém, as forças policiais frequentemente utilizam as mesmas ferramentas para garantir sua própria segurança operacional em operações secretas, enquanto membros de grupos vulneráveis ​​podem usá-las para proteger sua privacidade diante do assédio. Além disso, os governos dispõem de um amplo conjunto de ferramentas alternativas, como escutas telefônicas, geolocalização e rastreamento, mineração de dados, vigilância física tradicional e muitas outras, que fortalecem as operações policiais e antiterroristas contemporâneas.

Nos casos em que jornalistas alegam ameaças iminentes à sua segurança, os tribunais estão autorizados a conceder medidas cautelares em circunstâncias apropriadas e sujeitas aos requisitos legais pertinentes. Por exemplo, no caso de Fórum Nacional de Editores da África do Sul e Outros contra Black Land First e Outros,(132O Tribunal Superior da África do Sul concedeu uma liminar em favor da mídia, proibindo os réus de "praticarem quaisquer dos seguintes atos dirigidos aos requerentes: intimidação; assédio; agressões; ameaças; visitas às suas residências; ou agirem de qualquer maneira que constitua uma violação de sua liberdade pessoal", e de "fazerem gestos ameaçadores ou intimidadores nas redes sociais... que façam referência a qualquer violência, dano ou ameaça".133)

Conforme estabelecido na Resolução da ONU de 2016 sobre a Segurança dos Jornalistas, a impunidade para ataques contra jornalistas constitui um dos maiores desafios à segurança dos jornalistas, e garantir a responsabilização pelos crimes cometidos contra eles é um elemento fundamental para prevenir futuros ataques.

O Princípio 20 da Declaração de Princípios sobre a Liberdade de Expressão na África estabelece que os Estados devem garantir a segurança dos jornalistas e tomar medidas para prevenir ataques contra eles, bem como adotar medidas legais eficazes para investigar e processar ataques contra jornalistas. Além disso, o Princípio insta os Estados a tomarem medidas específicas para garantir a segurança das jornalistas mulheres, abordando questões de segurança específicas de gênero, incluindo violência sexual e de gênero, intimidação e assédio.134)

O Comentário Geral nº 34 estabelece que um ataque contra qualquer pessoa devido ao exercício do seu direito à liberdade de expressão, incluindo formas de ataque como prisão arbitrária, tortura, ameaças de morte e homicídio, não pode ser justificado ao abrigo do artigo 19.º do Pacto Internacional dos Direitos Civis e Políticos (PIDCP).135O documento afirma ainda que jornalistas, assim como outras pessoas envolvidas na coleta e análise de informações sobre situações de direitos humanos, como advogados e juízes, são frequentemente submetidos a ameaças, intimidações e ataques devido às suas atividades.136)

Embora seja evidente que, diante de ataques online, se exige justiça rápida e firme, a realidade é que muitos perpetradores cometem esses crimes impunemente.137A impunidade perpetua um ciclo de violência: é extremamente preocupante que tais ataques, ao ficarem impunes, transmitam à opinião pública a mensagem de que o Estado e as autoridades não levam esses ataques a sério.138)

Existe, portanto, uma orientação clara no direito internacional de que os Estados devem tomar medidas para proteger as pessoas, incluindo membros da imprensa, contra esse tipo de assédio e ataques. Isso se aplica tanto a casos em que o assédio ocorre offline quanto online.

Conclusão

O direito à privacidade enfrenta muitos novos desafios na era digital. A rápida e ampla adoção do processamento de dados gerou preocupações quanto à proteção de informações pessoais, levando à aprovação de diversas novas leis de proteção de dados em todo o mundo e a esforços para responsabilizar governos e o setor privado pela vigilância baseada em novas tecnologias invasivas, incluindo o reconhecimento facial.

Isso também resultou na necessidade de encontrar o equilíbrio adequado entre proteger a liberdade de expressão, permitindo o anonimato e a criptografia online, e garantir a responsabilização por crimes cometidos no ambiente digital. De modo geral, proibições totais de anonimato e criptografia são vistas como violações desproporcionais ao direito à liberdade de expressão, e, nos últimos anos, as diretrizes de direito internacional para Estados e atores privados sobre essas questões tornaram-se mais robustas.

Esses desafios aos direitos digitais têm particular relevância para jornalistas que atuam online e frequentemente sofrem com tentativas de vigilância ou invasão de suas comunicações privadas, incluindo altos níveis de abuso e assédio online. Jornalistas mulheres são especialmente visadas nesse sentido. É vital que os Estados tomem medidas para proteger jornalistas no ambiente online e alinhem seus marcos legislativos com as diretrizes internacionais existentes, a fim de garantir a proteção da liberdade de expressão na era moderna.