Resumo: Os esforços da Europa para proteger as crianças online entraram em conflito com a arquitectura de privacidade da Europa. A violação de privacidade eletrônica que permite verificações voluntárias de CSAM expirou em 3 de abril, depois que o parlamento votou 311-228 para rejeitar a extensão, o novo aplicativo de verificação de idade da UE anunciou em 15 de abril que havia sido hackeado em menos de dois minutos e os regulamentos CSA (“controles de bate-papo”) estão presos em uma trilogia com prazo de julho. Embora o TEDH tenha decidido que as backdoors de encriptação violam os direitos fundamentais, o RGPD, o DSA e os regulamentos propostos pelo CSA exigem que os utilizadores saibam se um utilizador é uma criança, o que exigiria que recolhessem dados que não podem ser recolhidos sobre crianças ao abrigo das leis de privacidade.
Em 3 de abril, o Parlamento Europeu votou 311 a 228 para expirar a revogação temporária da privacidade eletrônica. Este desvio permitiu que plataformas como Meta, Google e Microsoft pesquisassem voluntariamente material de abuso sexual infantil em mensagens privadas, sem violar as leis de privacidade da UE. Uma vez expirado, a base legal para essa verificação desaparece. Doze dias depois, a Comissão Europeia anunciou um novo aplicativo de verificação de idade seguro para a privacidade, projetado para proteger as crianças online. Os pesquisadores o hackearam em dois minutos. Entre leis expiradas e aplicativos quebrados, reside todo o problema. A Europa quer proteger as crianças da exploração online, mas todas as ferramentas que construiu para o fazer colidem com a arquitectura de privacidade que passou uma década a construir. Como resultado, o sistema regulador está a travar uma guerra contra si próprio e os mecanismos necessários para encontrar crianças vítimas de abuso devem recolher exactamente os dados que a legislação da UE estabelece que não podem recolher sobre crianças.
intervalo de varredura
A abolição da ePrivacy foi introduzida em 2021 como uma medida provisória. A Comissão Europeia propôs regulamentos sobre abuso sexual infantil, oficialmente conhecidos como Regulamentos CSA e informalmente como Controles de Chat. O regulamento exige que as plataformas detectem e relatem CSAM em mensagens privadas, incluindo mensagens criptografadas de ponta a ponta. Os regulamentos deveriam substituir o quadro voluntário dentro de três anos. Não foi assim. As negociações em três pontos entre o parlamento, o Conselho e a Comissão estão em curso desde 2022, com a próxima reunião marcada para 4 de maio e o objetivo de chegar a um acordo político até julho. Enquanto isso, o prazo expirou. O Centro Nacional dos EUA para Crianças Desaparecidas e Exploradas, que trata da maioria dos relatórios de CSAM de todo o mundo, alertou que o erro levaria a um declínio notável nas referências de plataformas europeias. A Meta confirmou que interrompeu a verificação voluntária na UE. A posição do Parlamento é que estas restrições são incompatíveis com o direito fundamental à privacidade nas comunicações. A posição do grupo de segurança infantil é que o Congresso tornou legal que as plataformas ignorem material abusivo nos seus sistemas.
Os regulamentos CSA propostos pela Comissão exigiriam que as plataformas verificassem as mensagens em busca de CSAM conhecido, novo CSAM e comportamento de aliciamento, utilizando comandos de deteção emitidos pelo novo centro da UE. O Congresso eliminou os elementos mais polêmicos. Isso significa negar a inspeção de mensagens criptografadas de ponta a ponta, limitar a detecção a materiais conhecidos usando técnicas de correspondência de hash e excluir comunicações em tempo real. O comité, liderado por um presidente do circuito que tem pressionado por um acesso mais forte às autoridades policiais, pretende uma autoridade de digitalização mais ampla, inclusive para materiais e autorizações desconhecidos. A distância entre as duas posições não é um detalhe a ser negociado. Existe um desacordo fundamental sobre se as comunicações privadas podem ser monitorizadas sistematicamente para proteger as crianças, e o Tribunal Europeu dos Direitos Humanos já deixou clara a sua posição.
muro de criptografia
Espaço de coworking da cidade de TNW – onde o melhor trabalho acontece
Um espaço de trabalho projetado para crescimento, colaboração e oportunidades infinitas de networking no centro da tecnologia.
Em Fevereiro passado, o TEDH decidiu no caso Podchasov v. Rússia decidiu que o enfraquecimento da encriptação de ponta a ponta ou a exigência de backdoors nas plataformas viola o artigo 8.º da Convenção Europeia dos Direitos Humanos, nomeadamente o direito ao respeito pela vida privada e pela correspondência. Embora a decisão aborde a lei russa que obriga os serviços de mensagens a fornecer chaves de desencriptação ao FSB, a sua lógica aplica-se diretamente às ordens de deteção propostas nos regulamentos da CSA. Se as plataformas não puderem inspecionar as mensagens encriptadas sem enfraquecer a encriptação, e se o enfraquecimento da encriptação violar os direitos fundamentais, os regulamentos não poderão fazer cumprir o que os seus autores pretendiam exigir. A presidente da Signal, Meredith Whittaker, disse que a organização deixaria a UE em vez de cumprir as leis que exigem que ela comprometa seus protocolos de criptografia. A Apple desativou recursos avançados de proteção de dados para usuários do Reino Unido depois que o governo do Reino Unido emitiu um aviso de capacidade técnica exigindo acesso backdoor aos dados do iCloud de acordo com a Lei de Poderes de Investigação. O debate sobre criptografia não é mais teórico. As empresas já estão a tomar decisões jurisdicionais com base em onde os governos exigem acesso às comunicações privadas.
O Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados emitiram pareceres alertando que os regulamentos CSA elaborados pela Comissão são desequilibrados e incompatíveis com os direitos fundamentais da UE. A AEPD afirmou que a digitalização do lado do cliente, uma tecnologia proposta como alternativa que descodifica o conteúdo de um dispositivo, digitalizando-o antes de o encriptar, ainda constitui vigilância em massa porque processa todas as mensagens para identificar mensagens ilícitas. A diferença entre a verificação pré-criptografia e pós-criptografia é tecnicamente significativa, mas não é legalmente significativa se eventualmente todas as mensagens privadas forem analisadas por um sistema automatizado. A posição negocial da Assembleia Nacional também reflecte esta análise. O Congresso não.
paradoxo de verificação de idade
Enquanto os regulamentos da CSA estagnavam, os estados membros individuais pressionavam por restrições baseadas na idade. Na França, crianças menores de 15 anos estão proibidas de acessar as redes sociais sem o consentimento dos pais. A Espanha estabeleceu o limite aos 16 anos. Grécia proíbe redes sociais para menores de 15 anos A partir de 2027. O limite na Áustria é 14. Noruega planeja proibir mídias sociais para menores de 16 anos Para fazer cumprir isso, estamos desenvolvendo um sistema nacional de verificação de idade. A pressão da Europa para restrições de idade nas redes sociais acelera Criou várias leis nacionais sem um mecanismo de aplicação comum, que é o problema que a aplicação de verificação de idade da UE teve de resolver.
O aplicativo da comissão, anunciado em 15 de abril, tem como objetivo verificar a idade do usuário sem revelar sua identidade à plataforma, um sistema de prova de conhecimento zero que verifica se alguém ultrapassa um determinado limite de idade sem transmitir sua data de nascimento, nome ou outros dados pessoais. Foi apresentado como uma solução tecnológica para o paradoxo de ter que verificar a idade sem recolher dados de idade. Os investigadores de segurança demonstraram que era possível contornar o processo de verificação da aplicação dois minutos após o lançamento, minando a credibilidade da ferramenta que o comité forneceu como prova de que a aplicação da privacidade segura para crianças é tecnicamente possível. que O novo aplicativo de verificação de idade seguro para privacidade da UE O objetivo era demonstrar que o equilíbrio entre a proteção da criança e a minimização de dados pode ser abordado através da engenharia. O fracasso imediato mostrou o oposto.
conflito jurídico
A Lei dos Serviços Digitais, que entra em vigor em 2024, exige que as plataformas avaliem e mitiguem os riscos sistémicos para os menores nos termos do artigo 28.º, incluindo a exposição a conteúdos nocivos, a manipulação através da conceção de interfaces e o tratamento de dados pessoais de uma forma que explore as vulnerabilidades das crianças. As diretrizes da DSA orientam as plataformas a implementarem salvaguardas adequadas à idade, mas não especificam como as plataformas devem determinar a idade de um utilizador. O GDPR estabelece a idade de consentimento digital em 16 anos e permite que os estados membros a reduzam para 13 anos, e exige o consentimento dos pais para processar dados de crianças abaixo desse limite. As multas do GDPR visam cada vez mais as violações de dados de crianças, com os reguladores em toda a Europa tratando a privacidade das crianças como uma prioridade. No entanto, para aplicar proteções específicas à idade, uma plataforma deve primeiro determinar quem é uma criança, e determinar quem é uma criança requer a recolha ou inferência de dados pessoais sobre todos os utilizadores, incluindo adultos que têm o direito de não ter a sua idade verificada.
Esta é a circularidade que está no cerne do sistema europeu de segurança infantil. De acordo com o RGPD, os dados das crianças não podem ser processados sem medidas de proteção reforçadas. A DSA afirma que precisamos proteger as crianças de conteúdos nocivos. Os regulamentos da CSA exigem a detecção de abusos em mensagens privadas. Cada obrigação exige saber se um determinado usuário é uma criança. Para determinar se um determinado usuário é criança, precisamos processar os dados pessoais desse usuário. O processamento de dados pessoais para verificar a idade pode, por si só, violar os princípios de minimização de dados estabelecidos no GDPR. Os aplicativos de verificação de idade deveriam resolver esse problema. Foi quebrado assim que chegou. A revogação da ePrivacy pretendia ganhar tempo para as regulamentações da CSA. Expirado sem substituição. Os regulamentos da CSA deveriam criar um quadro harmonizado. Estamos presos entre um Congresso que não aceita a vigilância em massa e um Congresso que não examina os seus poderes e não aceita regulamentos.
Metas de julho
Os três principais negociadores estabeleceram julho como prazo final para um acordo político sobre os regulamentos do CSA. Uma proposta de compromisso que circula em Bruxelas limitaria as detecções necessárias a plataformas não encriptadas e CSAMs conhecidos que utilizam correspondência de hash e incluiria uma cláusula de revisão que permitiria alargar o âmbito à medida que a tecnologia melhorasse. As plataformas criptografadas têm a obrigação de relatar quando o CSAM é detectado, seja por meio de relatórios de usuários ou análise de metadados, mas não por meio de verificação de conteúdo. O Centro da UE para a Prevenção do Abuso Sexual Infantil coordena inquéritos transfronteiriços e mantém uma base de dados hash. Não está claro se este compromisso será sustentável. As agências responsáveis pela aplicação da lei em toda a Europa têm feito fortes pressões para uma digitalização mais ampla, argumentando que as mensagens encriptadas são um importante canal de distribuição de material abusivo e que a exclusão de mensagens encriptadas torna os regulamentos simbólicos. Os defensores da privacidade argumentam que qualquer infra-estrutura de pesquisa necessária, uma vez construída, estender-se-á inevitavelmente a outras categorias de conteúdos ilegais. Esta é a ladeira escorregadia que a decisão do TEDH no caso Podchasov foi concebida para evitar.
A avaliação honesta é que a Europa não conseguiu resolver a tensão entre a segurança infantil e a privacidade. Isto porque as tensões não podem ser resolvidas apenas através da regulamentação. Ferramentas para proteger as crianças, pesquisar mensagens em busca de material abusivo, verificar a idade antes de conceder acesso, monitorizar as interações para detectar padrões de aliciamento – todas exigem capacidades de vigilância que a legislação da UE existe para impedir. Os Estados-Membros que aplicaram limites de idade unilateralmente fizeram-no sem um mecanismo de aplicação credível. A tecnologia de verificação de idade da Comissão falhou no seu primeiro teste público. O Congresso revogou o único mecanismo legal que permitia a digitalização voluntária. E os regulamentos que deveriam substituir tudo continuam a ser um documento com o qual ninguém consegue chegar a acordo, mesmo depois de quatro anos de negociações. Isto porque as duas coisas que este regulamento procura proteger – a segurança das crianças e a privacidade de todos – exigem opostos da mesma infra-estrutura.
