Retenção de dados - Data retention

A retenção de dados define as políticas de dados persistentes e gerenciamento de registros para atender aos requisitos legais e de arquivamento de dados corporativos . Embora às vezes seja intercambiável, não deve ser confundido com a Lei de Proteção de Dados de 1998 .

As diferentes políticas de retenção de dados pesam as questões jurídicas e de privacidade em relação à economia e às preocupações necessárias para determinar o tempo de retenção, as regras de arquivamento, os formatos de dados e os meios permitidos de armazenamento , acesso e criptografia .

No campo das telecomunicações , a retenção de dados geralmente se refere ao armazenamento de registros de detalhes de chamadas (CDRs) de dados de transações e tráfego de telefonia e Internet ( IPDRs ) por governos e organizações comerciais. No caso de retenção de dados do governo, os dados armazenados são geralmente de chamadas telefônicas feitas e recebidas, e-mails enviados e recebidos e sites visitados. Os dados de localização também são coletados.

O objetivo principal na retenção de dados do governo é a análise de tráfego e vigilância em massa . Ao analisar os dados retidos, os governos podem identificar a localização de indivíduos, associados de um indivíduo e membros de um grupo, como oponentes políticos. Essas atividades podem ou não ser legais, dependendo das constituições e leis de cada país. Em muitas jurisdições, o acesso a esses bancos de dados pode ser feito por um governo com pouca ou nenhuma supervisão judicial.

No caso de retenção de dados comerciais, os dados retidos serão geralmente sobre transações e sites visitados.

A retenção de dados também cobre os dados coletados por outros meios (por exemplo, por sistemas de reconhecimento automático de placas ) e mantidos por organizações governamentais e comerciais.

Política de retenção de dados

Uma política de retenção de dados é um protocolo reconhecido e comprovado dentro de uma organização para reter informações para uso operacional e, ao mesmo tempo, garantir a conformidade com as leis e regulamentos relativos a elas. Os objetivos de uma política de retenção de dados são manter informações importantes para uso ou referência futura, organizar informações para que possam ser pesquisadas e acessadas posteriormente e descartar informações que não sejam mais necessárias.

As políticas de retenção de dados dentro de uma organização são um conjunto de diretrizes que descrevem quais dados serão arquivados, por quanto tempo serão mantidos, o que acontece com os dados no final do período de retenção (arquivar ou destruir) e outros fatores relacionados à retenção dos dados.

Uma parte de qualquer política de retenção de dados eficaz é a exclusão permanente dos dados retidos; alcançar a exclusão segura de dados criptografando os dados quando armazenados e, em seguida, excluindo a chave de criptografia após um período de retenção especificado. Assim, excluindo efetivamente o objeto de dados e suas cópias armazenadas em locais online e offline.

Austrália

Artigo principal: Emenda (Retenção de Dados) Lei de Telecomunicações (Interceptação e Acesso) de 2015

Em 2015, o governo australiano introduziu leis de retenção de dados obrigatórias que permitem que os dados sejam retidos por até dois anos. O esquema está estimado em pelo menos AU $ 400 milhões por ano para implementar, resultando em pelo menos $ 16 por usuário por ano. Exigirá que os provedores de telecomunicações e ISPs retenham metadados de telefonia, Internet e e-mail por dois anos, acessíveis sem um mandado, e podem ser usados ​​para direcionar o compartilhamento de arquivos . O Procurador-Geral tem ampla discricionariedade sobre quais agências têm permissão para acessar metadados, incluindo agências privadas.

Os Verdes se opuseram veementemente à introdução dessas leis, citando preocupações com a privacidade e a crescente perspectiva de 'faturamento especulativo' sobre alegados casos de violação de direitos autorais. O Partido Trabalhista também se opôs inicialmente, mas depois concordou em aprovar a lei depois que salvaguardas adicionais foram colocadas em prática para dar aos jornalistas alguma proteção.

União Européia

Em 15 de março de 2006, a União Europeia adotou a Diretiva de Retenção de Dados , sobre "a retenção de dados gerados ou processados ​​no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes de comunicações públicas e que altera a Diretiva 2002/58 / CE". Exige que os Estados-Membros garantam que os fornecedores de comunicações retêm os dados necessários, conforme especificado na diretiva, por um período de 6 meses a 2 anos, a fim de:

  • Rastreie e identifique a fonte de uma comunicação;
  • Rastreie e identifique o destino de uma comunicação;
  • Identifique a data, hora e duração de uma comunicação;
  • Identifique o tipo de comunicação;
  • Identifique o dispositivo de comunicação;
  • Identifique a localização do equipamento de comunicação móvel.

Os dados devem ser disponibilizados às autoridades nacionais "competentes" em casos específicos, "para efeitos de investigação, deteção e repressão de crimes graves, conforme definido por cada Estado-Membro na sua legislação nacional".

A diretiva abrange a telefonia fixa , a telefonia móvel , o acesso à Internet, o e-mail e o VoIP . Os Estados-Membros foram obrigados a transpor para o direito nacional no prazo de 18 meses - o mais tardar em Setembro de 2007. No entanto, podem, se desejarem, adiar a aplicação da directiva ao acesso à Internet, correio electrónico e VoIP por mais 18 meses após esta data. A maioria dos Estados-Membros exerceu esta opção. Todos os 28 Estados da UE notificaram a Comissão Europeia sobre a transposição da diretiva para o seu direito nacional. Destes, no entanto, a Alemanha e a Bélgica apenas transpuseram a legislação parcialmente.

Um relatório de avaliação da Diretiva foi publicado pela Comissão Europeia em abril de 2011.

Concluiu que a retenção de dados era uma ferramenta valiosa para garantir a justiça penal e a proteção pública, mas que tinha alcançado apenas uma harmonização limitada. Houve sérias preocupações por parte dos prestadores de serviços sobre os custos de conformidade e de organizações da sociedade civil que afirmam que a retenção obrigatória de dados era uma violação inaceitável do direito fundamental à privacidade e à proteção de dados pessoais. A Comissão está agora a rever a legislação.

Em resposta ao relatório, em 31 de maio de 2011, a Autoridade Europeia para a Proteção de Dados expressou algumas preocupações sobre a Diretiva Europeia de Retenção de Dados, sublinhando que a Diretiva “não cumpre os requisitos impostos pelos direitos fundamentais à privacidade e proteção de dados”.

Em 8 de abril de 2014, o Tribunal de Justiça da União Europeia declarou a Diretiva 2006/24 / CE inválida por violação dos direitos fundamentais. Os Serviços Jurídicos do Conselho declararam em sessão à porta fechada que o parágrafo 59 da decisão do Tribunal de Justiça Europeu "sugere que a retenção geral e geral de dados já não é possível". Um parecer jurídico financiado pelo Grupo Verdes / EFA no Parlamento Europeu conclui que a retenção geral de dados de pessoas suspeitas geralmente viola a Carta dos Direitos Fundamentais da UE, tanto no que diz respeito às leis nacionais de retenção de dados de telecomunicações quanto a esquemas semelhantes de retenção de dados da UE (PNR , TFTP, TFTS, acesso LEA ao EES, Eurodac, VIS).

Reino Unido

Lei de retenção de dados e poderes de investigação de 2014

A Lei de Retenção de Dados e Poderes de Investigação entrou em vigor em 2014. É a resposta do parlamento do Reino Unido após uma declaração de nulidade feita pelo Tribunal de Justiça da União Europeia em relação à Diretiva 2006/24 / CE, a fim de tomar providências sobre a retenção de certos dados de comunicações. Além disso, o objetivo do ato é:

  • Alterar os fundamentos para emitir mandados de interceptação, ou conceder ou dar certas autorizações ou avisos.
  • Dispor sobre a aplicação extraterritorial daquela Parte e sobre o significado de "serviço de telecomunicações" para os fins daquela Lei;
  • Dispor sobre uma revisão do funcionamento e regulamentação dos poderes de investigação; e para finalidades conectadas.

A lei também visa garantir que as empresas de comunicação no Reino Unido retenham dados de comunicações para que continuem disponíveis quando forem necessários para as agências de aplicação da lei e outros para investigar crimes cometidos e proteger o público. A lei de proteção de dados exige que os dados que não são úteis sejam excluídos. Isso significa que a intenção desta lei poderia ser usar a retenção de dados para adquirir mais poderes de policiamento usando, já que a lei torna a retenção de dados obrigatória.

Um elemento desta Lei é a provisão dos poderes de investigação a serem relatados até 1 de maio de 2015.

Controvérsia

A Lei de Retenção de Dados e Poderes Investigatórios de 2014 foi chamada de projeto de lei de comunicação de dados "snooper's charter". Theresa May , uma forte defensora da Lei do Parlamento, disse em um discurso que "Se nós (o parlamento) não agirmos, corremos o risco de entrar em sonambulismo em uma sociedade na qual o crime não pode mais ser investigado e os terroristas podem tramar seus esquemas assassinos sem interrupção."

O parlamento do Reino Unido, suas novas leis, que aumentam o poder de retenção de dados, são essenciais para combater o crime e proteger o público. No entanto, nem todos concordam e acreditam que o objetivo principal da retenção de dados pelo governo é a vigilância em massa .

Depois que a mais alta corte da Europa disse que a profundidade da retenção de dados viola o direito fundamental dos cidadãos à privacidade e o Reino Unido criou sua própria lei, isso levou o governo britânico a ser acusado de violar a lei ao forçar os provedores de telecomunicações e internet a reter registros de chamadas telefônicas , textos e uso da internet. A partir dessas informações, os governos podem identificar os associados de um indivíduo, localização, associação a grupos, afiliações políticas e outras informações pessoais.

Numa entrevista à televisão, o advogado-geral da UE, Pedro Cruz Villalón, destacou o risco de os dados retidos serem utilizados ilegalmente de formas "potencialmente prejudiciais à privacidade ou, de uma forma mais geral, fraudulentas ou mesmo maliciosas".

Retenção de outros dados

Dados postais - período de retenção desconhecido
Informações escritas no exterior de um item postal (como uma carta ou pacote), rastreamento online de itens postais, registros de itens postais especiais (como registros de itens postais registrados, gravados ou de entrega especial), registros de remessa de pacotes, entrega e arrecadação.
Dados bancários - sete anos
The Economist relatou que os bancos do Reino Unido são obrigados a reter dados sobre todas as transações financeiras por sete anos, embora isso não tenha sido verificado. Não está claro se os dados sobre transações com cartão de crédito também são retidos por sete anos.
Dados de movimento de veículos - dois anos
Documentos vazados da Associação dos Chefes de Polícia (ACPO) revelaram que o Reino Unido está planejando coletar dados de uma rede nacional de câmeras de reconhecimento automático de placas e armazenar os dados por dois anos em um polêmico novo centro que está sendo construído em Hendon. Esses dados podem então ser vinculados a outros dados mantidos pelo governo e listas de observação da polícia e serviços de segurança.

Acesso aos dados retidos

Os órgãos que podem acessar os dados retidos no Reino Unido estão listados no Regulamento da Lei de Poderes de Investigação de 2000 (RIPA). Estes são os seguintes:

  • Forças policiais, conforme definido na seção 81 (1) da RIPA
  • Serviço Nacional de Inteligência Criminal
  • Serious Organized Crime Agency, anteriormente conhecido como National Crime Squad
  • HM Customs and Excise
  • Inland Revenue (os dois últimos foram fundidos em HM Revenue and Customs )
  • Serviço de segurança
  • Serviço secreto de inteligência
  • Sede de Comunicações Governamentais (GCHQ)

No entanto, o Regulamento da Lei de Poderes de Investigação de 2000 (RIPA) também concede ao Ministro do Interior poderes para alterar a lista de entidades com acesso aos dados retidos por meio de legislação secundária . A lista de órgãos autorizados agora inclui:

Razões para acessar os dados retidos

As justificativas para acessar os dados retidos no Reino Unido são estabelecidas no Regulamento da Lei de Poderes de Investigação de 2000 (RIPA). Eles incluem:

  • Interesses de segurança nacional;
  • Prevenir ou detectar o crime ou prevenir a desordem;
  • Bem-estar econômico do Reino Unido;
  • Segurança Pública;
  • Proteção da saúde pública;
  • Avaliar ou cobrar qualquer imposto, taxa, imposto ou outra imposição, contribuição ou encargo a pagar a um departamento governamental;
  • Prevenir a morte ou ferimentos em uma emergência ou qualquer dano à saúde física ou mental de uma pessoa, ou de mitigar qualquer ferimento ou dano à saúde física ou mental de uma pessoa;
  • Qualquer outro propósito não listado acima que seja especificado para os fins desta subseção por uma ordem feita pelo Secretário de Estado.

República Checa

A implementação da diretiva fazia parte da lei. No. 259/2010 Coll. nas comunicações eletrónicas, conforme posteriormente alterado. Sob o art. 97 (3), os dados de telecomunicações devem ser armazenados entre 6 e 12 meses. O Tribunal Constitucional Tcheco considerou a lei inconstitucional e considerou que ela infringia o direito dos povos à privacidade.

Em julho de 2012, uma nova legislação estava a caminho.

Itália

Em julho de 2005, novos requisitos legais sobre retenção de dados entraram em vigor na Itália.

Informações do assinante
Cyber ​​cafés e lojas de telefones públicos com pelo menos três terminais devem obter uma licença de licença no prazo de 30 dias do Ministério do Interior. Devem também armazenar dados de tráfego por um período que pode ser determinado posteriormente por decreto administrativo. Pontos de acesso Wi-Fi e locais que não armazenam dados de tráfego precisam proteger as informações de identificação dos usuários antes de permitir que eles façam logon. Por exemplo, pode ser necessário que os usuários digitem um número de um cartão de identificação ou carteira de motorista. Não está claro como essas informações são validadas. Os usuários de telefonia móvel devem se identificar antes da ativação do serviço ou antes de obter um cartão SIM . Os revendedores de assinaturas de celular ou cartões pré-pagos devem verificar a identidade dos compradores e reter uma fotocópia dos cartões de identidade.
Dados de telefonia
Os dados, incluindo dados de localização, na telefonia fixa e móvel devem ser retidos por 24 meses. Não há nenhum requisito para armazenar o conteúdo das chamadas. As operadoras de telefonia devem manter um registro de todas as tentativas de discagem malsucedidas.
Dados ISP
Os provedores de serviços de Internet devem reter todos os dados por pelo menos 12 meses. A lei não especifica exatamente quais dados de tráfego devem ser retidos. Não há nenhum requisito para armazenar o conteúdo das comunicações da Internet.
Legalidade
A legislação de julho de 2005 permite a retenção de dados proibindo todas as disposições relevantes de proteção de dados até 31 de dezembro de 2007. De acordo com as disposições de proteção de dados, os provedores de serviços são obrigados a armazenar dados de tráfego e dados do usuário por não menos que 365 dias, mesmo que não mais. precisa dele para processar a comunicação ou para enviar contas, a política exige que as informações de identificação do usuário, localização, dados de rastreamento sejam armazenados e mantidos em arquivo para fácil acesso pelas autoridades policiais e / ou outras autoridades que solicitem essas informações (deve-se pedir permissão para ver os dados confidenciais dados de identificação do usuário no arquivo). Os dados de tráfego que agora serão retidos podem ser usados ​​para fins antiterrorismo e para a aplicação penal geral de grandes e pequenas infrações penais.

A Itália já exigia a retenção de dados de tráfego de telefonia por 48 meses, mas sem dados de localização. A Itália adotou a Diretiva da UE sobre Privacidade e Comunicações Eletrônicas de 2002, mas com uma isenção ao requisito de apagar dados de tráfego.

Dinamarca

A Dinamarca implementou a diretiva de retenção de dados da UE e muito mais, registrando todo o fluxo de Internet ou sessões entre operadoras e operadoras e consumidores.

  • "2.2.1. Registro de sessão (seção 5 (1) da Ordem Executiva) Os provedores de acesso à Internet devem, em relação ao pacote de início e término de uma sessão de Internet, reter dados que identifiquem o endereço de protocolo de envio e recebimento da Internet (a seguir denominado endereço IP), o número da porta de envio e recebimento e o protocolo de transmissão. "
  • "2.2.2. Amostragem (seção 5 (4) da Ordem Executiva) A obrigação de reter dados sobre o pacote de início e término de uma sessão de Internet não se aplica aos provedores no caso de tal retenção não ser tecnicamente viável em seus sistemas. Nesse caso, os dados devem ser retidos para cada 500 pacote que fizer parte da comunicação de um usuário final na Internet. "
  • "2.2.5. Pontos de acesso (seção 5 (3) da Ordem Executiva) Além dos dados da Internet que, de outra forma, devem ser retidos, o provedor deve reter dados que identifiquem a localização geográfica ou física precisa de um ponto de acesso e a identidade do equipamento de comunicação utilizado. Isto significa que um fornecedor de acesso à Internet através de um hot spot deve reter dados sobre o acesso do utilizador à Internet e, ao mesmo tempo, reter dados que identifiquem a localização geográfica do hot spot em questão. "

Suécia

A Suécia implementou a Diretiva de Retenção de Dados da UE de 2006 em maio de 2012 e foi multada em € 3 milhões pelo Tribunal de Justiça da União Europeia por sua transposição tardia (o prazo era 15 de setembro de 2007). A diretiva permitia aos Estados-Membros determinar a duração da retenção dos dados, variando de seis meses a dois anos; o Riksdag , legislatura da Suécia, optou por seis meses.

Em abril de 2014, no entanto, o CJEU revogou a Diretiva de Retenção de Dados. PTS , o regulador de telecomunicações da Suécia, disse aos provedores de serviços de Internet e telcos suecos que não teriam mais que reter registros de chamadas e metadados de internet. Mas depois que duas investigações governamentais descobriram que a lei de retenção de dados da Suécia não violou suas obrigações com a Convenção Europeia de Direitos Humanos , o PTS mudou de curso. A maioria das principais empresas de telecomunicações da Suécia concordou imediatamente, embora a Tele2 tenha entrado com um recurso sem sucesso. O único ISP resistente, Bahnhof , recebeu uma ordem para cumprir o prazo de 24 de novembro ou enfrentaria uma multa de cinco milhões de coroas (US $ 680.000).

Alemanha

O Bundestag alemão implementou a diretiva em "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24 / EG". A lei tornou-se válida em 1º de janeiro de 2008. Todos os dados de comunicação tiveram que ser retidos por seis meses. Em 2 de março de 2010, o Tribunal Constitucional Federal da Alemanha declarou a lei inconstitucional por violação da garantia do sigilo da correspondência. Em 16 de outubro de 2015, uma segunda lei para a retenção de dados mais curta, de até 10 semanas, excluindo a comunicação por e-mail, foi aprovada pelo parlamento. No entanto, este ato foi declarado incompatível com as leis alemãs e europeias por uma liminar do Tribunal Administrativo Superior da Renânia do Norte-Vestfália . Como resultado, em 28 de junho de 2017, três dias antes do início planejado da retenção de dados, a Federal Network Agency suspendeu a introdução da retenção de dados até uma decisão final no processo principal.

Romênia

A diretiva da UE também foi transposta para a legislação romena , inicialmente como Lei 298/2008. No entanto, o Tribunal Constitucional da Romênia posteriormente anulou a lei em 2009 por violar direitos constitucionais. O tribunal considerou que o ato de transposição violou os direitos constitucionais de privacidade, de confidencialidade nas comunicações e de liberdade de expressão. A Comissão Europeia posteriormente processou a Romênia em 2011 por não implementação, ameaçando a Romênia com uma multa de 30.000 euros por dia. O parlamento romeno aprovou uma nova lei em 2012, que foi assinada pelo presidente Traian Băsescu em junho. A Lei 82/2012 foi apelidada de " Big Brother " (usando a expressão inglesa não traduzida) por várias organizações não governamentais romenas que se opõem a ela. Em 8 de julho de 2014, esta lei também foi declarada inconstitucional pelo Tribunal Constitucional da Romênia .

Eslováquia

A Eslováquia implementou a diretiva na Lei n.º 610/2003 Coll. nas comunicações eletrónicas, conforme posteriormente alterado. Os dados de telecomunicações são armazenados por seis meses no caso de dados relacionados à Internet, e-mail na Internet e telefonia na Internet (art. 59a (6) a), e por 12 meses no caso de outros tipos de comunicação (art. 59a (6) b).

Em abril de 2014, o Tribunal Constitucional Eslovaco suspendeu preliminarmente a eficácia da implementação da Diretiva de Retenção de Dados na Eslováquia e aceitou o caso para uma revisão posterior. Em abril de 2015, o tribunal constitucional decidiu que algumas partes das leis eslovacas que implementam a Diretiva de DR não estão em conformidade com a constituição eslovaca e a Convenção para a Proteção dos Direitos Humanos e das Liberdades Fundamentais. De acordo com as disposições agora inválidas da Lei das Comunicações Eletrônicas, os provedores de comunicações eletrônicas eram obrigados a armazenar dados de tráfego, dados de localização e dados sobre as partes em comunicação por um período de 6 meses (no caso de comunicação pela Internet, e-mail ou VoIP) ou por um período de 12 meses (no caso de outra comunicação).

Rússia

Uma lei federal antiterrorista 374-FZ de 2016, conhecida como Lei Yarovaya, exige que todos os provedores de telecomunicações armazenem metadados de chamadas, texto e e-mail, bem como as gravações de voz reais por até 6 meses. Serviços de mensagens como o Whatsapp são necessários para fornecer backdoors criptográficos para as autoridades. A lei foi amplamente criticada na Rússia e no exterior como uma violação dos direitos humanos e um desperdício de recursos.

Noruega

A Diretiva de Retenção de Dados da UE foi implementada na lei norueguesa em 2011, mas não entrará em vigor antes de 1º de janeiro de 2015.

Sérvia

Em 29 de junho de 2010, o parlamento sérvio aprovou a Lei das Comunicações Eletrónicas, segundo a qual o operador deve manter os dados das comunicações eletrónicas durante 12 meses. Esta disposição foi criticada como inconstitucional pelos partidos da oposição e pelo Provedor de Justiça Saša Janković .

Suíça

A partir de 7 de julho de 2016, a Lei Federal Suíça sobre Vigilância dos Correios e Telecomunicações entrou em vigor, aprovada pelo governo suíço em 18 de março de 2016.

Celulares

As operadoras de telefonia móvel suíças devem reter os seguintes dados por seis meses, de acordo com o BÜPF:

  1. Números de telefone de chamadas recebidas e efetuadas
  2. SIM- (Subscriber Identity Module), IMSI- (International Mobile Subscribers Identity) e números IMEI (International Mobile Equipment Identity)
  3. „A localização e a orientação elétrica da antena do telefone móvel com a qual a pessoa monitorada está conectada ao sistema de comunicações no momento da comunicação"
  4. data, hora e duração da conexão

O email

Todos os provedores de serviços de Internet devem reter os seguintes dados por seis meses:

  1. tipo das conexões (telefone, xDSL, cabo, linha permanente etc.) e se forem conhecidos dados de login, informações de endereço de origem ( endereço MAC , número de telefone), nome, endereço e ocupação do usuário e duração da conexão desde o início terminar
  2. hora da transmissão ou recepção de um e-mail, informação do cabeçalho de acordo com o protocolo SMTP e os endereços IP da aplicação de envio e recebimento de e-mail.

O aplicativo de e-mail refere-se ao servidor SMTP, POP3, IMAP4, webmail e remail.

Isenções

A Suíça aplica a retenção de dados apenas aos maiores provedores de serviços de Internet, com mais de 100 milhões de CHF em receita anual proveniente da Suíça. Isso isenta notavelmente os provedores de comunicações derivados, como ProtonMail, um serviço popular de e-mail criptografado com base na Suíça.

Estados Unidos

A National Security Agency (NSA) normalmente registra metadados da Internet para todo o planeta por até um ano em seu banco de dados MARINA , onde é usado para análises de padrões de vida . Os americanos não estão isentos porque os metadados não são considerados dados pela lei dos EUA (seção 702 da Lei de Emendas da FISA ). Seu equivalente para registros telefônicos é MAINWAY . A NSA grava SMS e mensagens de texto semelhantes em todo o mundo por meio do DISHFIRE .

Aproveitando a retenção de dados comerciais

Várias agências dos Estados Unidos aproveitam a retenção (voluntária) de dados praticada por muitas organizações comerciais dos Estados Unidos por meio de programas como PRISM e MUSCULAR .

A Amazon é conhecida por reter muitos dados sobre as transações dos clientes. O Google também é conhecido por reter dados de pesquisas e outras transações. Se uma empresa tiver sede nos Estados Unidos, o Federal Bureau of Investigation (FBI) pode obter acesso a essas informações por meio de uma Carta de Segurança Nacional (NSL). A Electronic Frontier Foundation afirma que "NSLs são intimações secretas emitidas diretamente pelo FBI sem qualquer supervisão judicial. Essas intimações secretas permitem que o FBI exija que os provedores de serviços online ou empresas de comércio eletrônico produzam registros das transações de seus clientes. O FBI pode emitir NSLs para informações sobre pessoas que não cometeram nenhum crime.

As NSLs são praticamente imunes à revisão judicial. Eles são acompanhados por ordens de silêncio que não permitem exceção para falar com advogados e não fornecem oportunidade efetiva para os destinatários contestá-los em tribunal. Essa autoridade de intimação secreta, que foi ampliada pelo polêmico USA PATRIOT Act , poderia ser aplicada a quase qualquer provedor de serviços online para praticamente qualquer tipo de registro, sem que um tribunal jamais soubesse ". O Washington Post publicou um artigo bem pesquisado sobre o FBI uso de Cartas de Segurança Nacional .

Tentativas falhadas de legislação de retenção obrigatória de ISP

Os Estados Unidos não têm nenhuma lei de retenção de dados obrigatória do Provedor de Serviços de Internet (ISP) semelhante à Diretiva Europeia de Retenção de Dados , que foi invalidada retroativamente em 2014 pelo Tribunal de Justiça da União Europeia . Algumas tentativas de criar legislação de retenção obrigatória falharam:

  • Em 1999, dois modelos de retenção de dados obrigatória foram sugeridos para os Estados Unidos: Qual endereço IP foi atribuído a um cliente em um momento específico. No segundo modelo, "mais próximo do que a Europa adoptou", os números de telefone discados, os conteúdos das páginas Web visitadas e os destinatários das mensagens de e-mail devem ser retidos pelo ISP por um período de tempo indeterminado.
  • A Lei de Impedimento de Adultos da Internet que Facilita a Exploração da Juventude de Hoje (Lei de Segurança) de 2009, também conhecida como HR 1076 e S.436, exigiria que os provedores de "comunicação eletrônica ou serviços de computação remota" "mantivessem por um período de pelo menos dois anos todos registros ou outras informações relativas à identidade de um usuário de um endereço de rede temporariamente atribuído que o serviço atribui a esse usuário ". Este projeto de lei nunca se tornou uma lei.

Argumentos contra a retenção de dados

Embora seja frequentemente argumentado que a retenção de dados é necessária para combater o terrorismo e outros crimes, ainda existem outros que se opõem à retenção de dados. A retenção de dados pode ajudar a polícia e os serviços de segurança a identificar terroristas em potencial e seus cúmplices antes ou depois da ocorrência de um ataque. Por exemplo, as autoridades da Espanha e do Reino Unido declararam que os dados telefônicos retidos contribuíram significativamente para as investigações policiais sobre os atentados a bomba em 2004 sobre trens em Madri e em 2005 em Londres .

Os oponentes da retenção de dados apresentam os seguintes argumentos:

  1. Os atentados aos trens de Madri também podem ser vistos como uma prova de que o nível atual de retenção de dados é suficiente e, portanto, a diretiva da UE não é necessária.
  2. Os esquemas de retenção de dados não prevêem a regulamentação adequada do processo de retenção de dados e a supervisão judicial independente.
  3. A retenção de dados é uma invasão de privacidade e uma resposta desproporcional à ameaça do terrorismo.
  4. É fácil para os terroristas evitarem que suas comunicações sejam gravadas. O Código de Prática Voluntária de Retenção de Dados do Home Office admite que existem alguns protocolos de Internet que não podem ser monitorados de forma eficaz. Seria possível para os terroristas evitarem o monitoramento usando tecnologias P2P anônimas , cyber cafés, proxies anônimos ou vários outros métodos. Alguns policiais da UE são céticos quanto ao valor da retenção de dados. Por exemplo, Heinz Kiefer, presidente da Eurocop, a Confederação Europeia da Polícia, emitiu um comunicado de imprensa dizendo que "continua a ser fácil para os criminosos evitarem a detecção por meios bastante simples, por exemplo, cartões de telemóvel podem ser comprados de fornecedores estrangeiros e frequentemente trocados. O resultado seria que um grande esforço é feito com pouco mais efeito sobre os criminosos e terroristas do que irritá-los ligeiramente. Atividades como essas dificilmente aumentarão a confiança dos cidadãos na capacidade da UE de encontrar soluções para sua demanda de proteção contra crimes graves e terrorismo".
  5. O hardware e o software necessários para armazenar todos os dados retidos seriam extremamente caros. Os custos de retenção de dados não recairiam apenas sobre provedores de serviços de Internet e empresas de telefonia, mas também sobre todas as empresas e outras organizações que precisariam reter registros do tráfego que passa por seus quadros de distribuição e servidores.
  6. A retenção de dados dá poder excessivo ao estado para monitorar a vida de cada cidadão.
  7. A retenção de dados pode ser abusada pela polícia para monitorar as atividades de qualquer grupo que possa entrar em conflito com o estado; incluindo aqueles que estão envolvidos em protestos legítimos. A polícia do Reino Unido usou poderes anti-terrorismo contra grupos que se opõem à guerra no Iraque e manifestantes em uma feira de armas. A definição de terrorismo no Terrorism Act 2000 do Reino Unido inclui não apenas ação, mas a ameaça de ação, envolvendo violência grave contra uma pessoa ou danos graves à propriedade, com o objetivo de promover uma "causa política, religiosa ou ideológica". Existe a preocupação de que a definição esteja vagamente redigida e possa ser aplicada a defensores da libertação animal , manifestantes anti-guerra e muitos outros.
  8. Mesmo que a retenção de dados possa ser justificada, os períodos de retenção propostos em alguns casos são excessivos. Argumentou-se que um período de cinco dias para registros de atividades na web e noventa dias para todos os outros dados seria adequado para fins policiais.
  9. A retenção de dados pelos motores de busca oferece uma vantagem injusta aos motores de busca dominantes.

Proteção contra retenção de dados

A atual proposta de diretiva (ver acima) obrigaria os ISPs a registrar as comunicações de seus usuários na Internet. O pressuposto básico é que essas informações podem ser usadas para identificar com quem alguém, seja um cidadão inocente ou terrorista, se comunicou durante um período de tempo específico. Acreditar que tal mandato seria útil é ignorar que alguma comunidade muito comprometida de profissionais da criptografia vem se preparando para tal legislação há décadas. Abaixo estão algumas estratégias disponíveis hoje para qualquer pessoa se proteger, evitar esses rastros e tornar inúteis essas operações de registro caras e legalmente duvidosas.

Anonimizando serviços de proxy: Web

Existem proxies de anonimato que fornecem um acesso um pouco mais privado à web. Os proxies devem usar criptografia HTTPS para fornecer qualquer nível de proteção. Infelizmente, os proxies exigem que o usuário confie muito no operador do proxy (uma vez que eles vêem tudo o que o usuário faz no HTTP) e podem estar sujeitos à análise de tráfego .

Comunicações P2P

Alguns serviços P2P, como transferência de arquivos ou voz sobre IP, usam outros computadores para permitir a comunicação entre computadores protegidos por firewalls. Isto significa que tentar seguir uma chamada entre dois cidadãos pode, por engano, identificar um terceiro cidadão que não sabe da comunicação.

Ferramentas para aumentar a privacidade

Para cidadãos preocupados com a segurança com algum conhecimento técnico básico, ferramentas como I2P - The Anonymous Network , Tor , Mixmaster e as opções de criptografia integradas em qualquer cliente de e-mail moderno podem ser empregadas.

I2P é uma rede internacional de anonimato ponto a ponto, que visa não apenas evitar a retenção de dados, mas também tornar impossível a espionagem por terceiros. A estrutura é semelhante àquela usada pelo TOR (consulte o próximo parágrafo), mas há diferenças substanciais. Ele protege melhor contra a análise de tráfego e oferece forte anonimato e para criptografia ponta a ponta do tráfego interno da rede . Devido aos túneis unidirecionais, é menos sujeito a ataques de sincronização do que o Tor. No I2P, vários serviços estão disponíveis: navegação anônima, e-mails anônimos, mensagens instantâneas anônimas, compartilhamento anônimo de arquivos e hospedagem anônima de sites, entre outros.

Tor é um projeto da organização sem fins lucrativos dos Estados Unidos Tor Project para desenvolver e melhorar uma rede de roteamento cebola para proteger seus usuários da análise de tráfego. Mixmaster é um serviço de repostador que permite o envio anônimo de e-mail.

JAP é um projeto muito semelhante ao Tor. Ele é projetado para rotear solicitações da web por meio de vários proxies para ocultar o endereço de Internet do usuário final. O suporte Tor foi incluído no JAP.

Iniciativa contra a retenção extensiva de dados

O Arbeitskreis Vorratsdatenspeicherung (Grupo de Trabalho Alemão sobre Retenção de Dados) é uma associação de ativistas pelos direitos civis, ativistas pela proteção de dados e usuários da Internet. O Arbeitskreis coordena a campanha contra a introdução da retenção de dados na Alemanha.

Uma análise das estatísticas da Agência Federal do Crime (BKA) publicadas em 27 de janeiro de 2010 pela ONG de liberdades civis AK Vorrat revelou que a retenção de dados não tornou o processo contra crimes graves mais eficaz.

Como a Comissão da UE está atualmente considerando mudanças na polêmica diretiva de retenção de dados da UE, uma coalizão de mais de 100 liberdades civis, associações de proteção de dados e direitos humanos, juristas, sindicatos e outros estão instando a Comissão a propor a revogação dos requisitos da UE em relação à retenção de dados em favor de um sistema de preservação acelerada e coleta direcionada de dados de tráfego.

Planos para estender a retenção de dados às redes sociais

Em novembro de 2012, as respostas a um inquérito parlamentar no Bundestag alemão revelaram planos de alguns países da UE, incluindo a França, de estender a retenção de dados a chats e mídias sociais. Além disso, o Escritório Federal Alemão para a Proteção da Constituição (agência de inteligência interna da Alemanha) confirmou que tem trabalhado com o Comitê Técnico ETSI LI desde 2003.

Veja também

Referências

links externos