A União Europeia tem estabelecido uma reputação sólida no que diz respeito à proteção da privacidade, mas um projeto legislativo recentemente apresentado para combater abusos infantis vem gerando preocupações significativas quanto à segurança e privacidade de milhões de usuários de aplicativos de mensagens na região. A proposta, introduzida formalmente em maio de 2022 pela Comissão Europeia, descreve-se como uma iniciativa para proteger os direitos das crianças online, combatendo o uso indevido de ferramentas tecnológicas por abusadores que, segundo a Comissão, estariam cada vez mais utilizando aplicativos de mensagens para distribuir materiais de abuso sexual infantil e até mesmo para atrair novas vítimas.
Em virtude de pressões de setores relacionados à tecnologia de segurança infantil, a abordagem adotada pela União Europeia tem sido caracterizada como techno-solutionist. O foco principal desta iniciativa é regular os serviços digitais, especialmente os aplicativos de mensagens, impondo a eles a obrigação legal de utilizar ferramentas tecnológicas para escanear as comunicações dos usuários, a fim de detectar e relatar atividades ilegais. Até o momento, os principais aplicativos de mensagens dispensaram temporariamente as regras de privacidade da UE, que tratam da confidencialidade das comunicações digitais, uma exceção que se estende até maio de 2025. Essa derogação permite que eles escaneiem voluntariamente as comunicações em busca de materiais de abuso sexual infantil em determinadas circunstâncias. Contudo, a nova regulamentação sobre abuso infantil institui regras permanentes que, na essência, obrigariam a digitalização de conteúdos com base em Inteligência Artificial em toda a UE.
Os críticos da proposta argumentam que isso poderá resultar em uma situação onde os aplicativos de mensagens serão forçados a empregar tecnologias imperfeitas para escanear a correspondência privada dos usuários por padrão, o que geraria consequências alarmantes para a privacidade dos indivíduos. Ademais, alertam que a proposta coloca a União Europeia em um caminho de conflito com a criptografia forte, já que a lei poderia forçar aplicativos com criptografia de ponta a degradar sua segurança para atender às exigências de triagem de conteúdo. A preocupação é tão grave que o próprio supervisor de proteção de dados da UE advertiu que a proposta representa um ponto de inflexão para os direitos democráticos. Além disso, um serviço de consultoria jurídica do Conselho Europeu também considerou a proposta incompatível com a legislação da UE, conforme indicações de uma avaliação vazada. A lei da UE proíbe a imposição de uma obrigação geral de monitoramento e, se a legislação for aprovada, é quase certo que ela enfrentará desafios legais.
A ordem de detecção de CSAM e suas implicações
A proposta original da Comissão inclui um requisito que obriga as plataformas, uma vez notificadas com uma ordem de detecção, a escanear as mensagens dos usuários não apenas em busca de CSAM conhecido (ou seja, imagens de abuso infantil já identificadas e categorizadas para detecção), mas também para CSAM desconhecido, o que aumenta ainda mais o desafio técnico de detectar conteúdos ilegais com alta precisão e baixo número de falsos positivos. Um componente adicional na proposta exige que as plataformas identifiquem atividades de grooming em tempo real, significando que, além de escanear uploads de imagens em busca de CSAM, os aplicativos também precisariam analisar o conteúdo das comunicações dos usuários, a fim de identificar quando um adulto está tentando atrair uma criança para atividade sexual. A utilização de ferramentas automatizadas para detectar sinais de comportamentos que possam preceder abusos sugere um enorme espaço para interpretações equivocadas de interações inocentes, ampliando os riscos de vigilância em massa que a proposta implica.
Os desafios impostos à criptografia de ponta
A proposta original da Comissão para a regulamentação não isenta os aplicativos de mensagens que utilizam criptografia de ponta das exigências de detecção de CSAM. Dado que o uso de criptografia de ponta significa que tais plataformas não conseguem acessar versões legíveis das comunicações dos usuários, uma vez que não possuem as chaves de criptografia, os serviços de mensagens seguros enfrentariam problemas específicos de conformidade caso fossem legalmente obrigados a compreender conteúdos que não conseguem visualizar. Os críticos deste plano, portanto, advertem que a legislação forçaria plataformas de mensagens com criptografia de ponta a diminuir as proteções de segurança que oferecem, implementando tecnologias arriscadas, como a triagem de conteúdo do lado do cliente como medida de conformidade. A proposta da Comissão não menciona tecnologias específicas que as plataformas devem adotar para a detecção de CSAM, deixando as decisões a cargo de um centro da UE para combater o abuso sexual infantil que a lei estabeleceria. Contudo, especialistas preveem que, provavelmente, será usado para forçar a adoção de escaneamento do lado do cliente.
Outra possibilidade é que plataformas que implementaram criptografia forte possam optar por retirar seus serviços da região totalmente; por exemplo, o Signal já advertiu que se afastaria do mercado ao invés de ser forçado por lei a comprometer a segurança dos usuários. Essa perspectiva poderia deixar os cidadãos da UE sem acesso a aplicativos convencionais que utilizam protocolos de segurança de criptografia de ponta, como Signal, WhatsApp (de propriedade do Meta) ou o iMessage da Apple. Os opositores da proposta sustentam que nenhuma das medidas redigidas pela UE terá o efeito desejado de prevenir abusos infantis. Em vez disso, a previsão é de consequências prejudiciais para os usuários dos aplicativos, uma vez que as comunicações privadas de milhões de cidadãos europeus estariam expostas a algoritmos de triagem imperfeitos, o que, por sua vez, poderia resultar em um grande número de falsos positivos. Em consequência, milhões de pessoas inocentes poderiam ser implicadas erroneamente em atividades suspeitas, sobrecarregando as autoridades policiais com relatórios falsos.
Assim, o sistema que a proposta da UE vislumbra necessitará expor regularmente as mensagens privadas dos cidadãos a terceiros que participariam da verificação das denúncias de conteúdos suspeitos que lhes forem enviadas pelos sistemas de detecção das plataformas. Portanto, mesmo que uma peça específica de conteúdo sinalizado não acabe sendo encaminhada à polícia para investigação, tendo sido identificada como não suspeita em um momento anterior na cadeia de relatórios, ela ainda terá sido analisada por alguém além do remetente e de seus destinatários pretendidos. A falta de privacidade nas comunicações está em risco, pois a interação entre os usuários pode ser monitorada.
Desafios legislativos e divisões internas da UE sobre a proposta
Tradicionalmente, a formulação de leis da UE envolve um esforço conjunto entre a Comissão, o Parlamento Europeu e o Conselho da União Europeia. Contudo, em relação à regulamentação do abuso infantil, as instituições da UE até o presente momento apresentaram opiniões divergentes. Um ano atrás, os legisladores do Parlamento Europeu chegaram a um consenso sobre sua posição de negociação, sugerindo revisões significativas à proposta da Comissão, propondo, entre outros, isenções para plataformas com criptografia de ponta das exigências de triagem, restringindo ainda a triagem para torná-la mais direcionada, de modo que somente mensagens de indivíduos ou grupos suspeitos de abuso sexual infantil fossem examinadas, em vez de impor uma triagem uniforme a todos os usuários. A proposta dos deputados europeus também visava limitar a detecção a CSAM conhecido e desconhecido, excluindo a exigência de que as plataformas também identificassem atividades de grooming ao analisar trocas de texto.
Com o advento das eleições da UE, a composição do Parlamento foi alterada, trazendo incertezas a respeito da posição dos novos parlamentares. Ademais, o Conselho Europeu, que representa os governos dos Estados-membros, ainda não chegou a concordar sobre um mandato de negociação. Por essa razão, as discussões com o Parlamento ainda não começaram. Enquanto alguns dos Estados-membros ignoraram os apelos do Parlamento para alinhar-se à sua posição de compromisso, outros estão optando por uma postura mais próxima à proposta original da Comissão, que demanda a triagem de todos os conteúdos. No entanto, ainda persiste uma divisão entre os Estados em como proceder, e foi possível observar resistências a compromissos que foram apresentados pelas presidências do Conselho.
Informações vazadas durante as discussões no Conselho sugerem que os governos dos Estados-membros ainda estão tentando preservar a capacidade de realizar triagens abrangentes de conteúdo. No entanto, os ventos parecem estar mudando, com os sinais mais recentes indicando que o suporte à proposta de vigilância em massa das comunicações dos cidadãos pode estar diminuindo. Recentemente, o governo holandês anunciou sua decisão de se abster em um novo compromisso, citando preocupações sobre as implicações para a criptografia de ponta. Embora a falta de uma maioria qualificada tenha levado o assunto a ser retirado da agenda do Conselho, muitos países da UE ainda apoiam a pressão da Comissão pela triagem de mensagens em massa.
As conversas em torno dessa questão permanecem atuais, e o risco de regulamentações que comprometam a privacidade dos cidadãos europeus e a reputação da UE como defensora da privacidade continua elevado. As propostas que estão sendo discutidas no âmbito do Conselho são ainda um indicativo da possibilidade de chegar a um texto que possa satisfazer um número suficiente de governos para abrir as portas para negociações com o Parlamento Europeu, o que colocaria em risco as liberdades civis e a privacidade de milhões de cidadãos na União Europeia.