Hoje, a Mailfence e outras empresas que priorizam a privacidade publicam sua carta aberta sobre a proposta de regulamentação do Abuso Sexual de Crianças (ASC).
Veja abaixo a carta conjunta iniciada pela Tuta, que a Mailfence e outras empresas voltadas para a privacidade assinaram em conjunto.
Carta Aberta aos Estados-Membros da UE sobre a Proposta de Regulamento ASC
“Prezados Ministros do Interior, da Justiça e da Economia dos Estados Membros da UE,
Escrevemos-lhe na qualidade de pequenas e médias empresas e organizações da Europa, preocupadas com a proposta de Regulamento sobre o Abuso Sexual de Crianças (ASC). Coletivamente, apelamos a que assegure que a posição de Portugal sobre este dossier se aproxime o mais possível da posição do Parlamento Europeu (PE). Todos concordamos que garantir a segurança das crianças em linha é um dos deveres mais importantes das empresas tecnológicas e, por esta razão, consideramos a proposta de Regulamento da Comissão Europeia extremamente preocupante.
Se fosse implementada tal como proposto, ela teria um impacto negativo na privacidade e na segurança das crianças em linha, bem como consequências dramáticas e imprevistas no panorama de cibersegurança da UE, além de criar uma carga administrativa ineficaz*.
O Parlamento Europeu adoptou recentemente a sua posição sobre o dossier, reconhecendo que as tecnologias de deteção não são compatíveis com o objetivo de ter comunicações confidenciais e seguras. As alterações cruciais propostas reflectem as opiniões da Autoridade Europeia para a Proteção de Dados (AEPD), dos serviços jurídicos do Conselho, bem como de inúmeros peritos em criptografia e cibersegurança**.
Ela também reflete a opinião de entre 63% e 69% das empresas, autoridade públicas, ONGs e cidadãos consultados pela comissão Europeia na sua avaliação de impacto***.
Enquanto pequenas e médias empresas e organizações tecnológicas, partilhamos as suas preocupações, pois sabermos que a procura de conteúdos específicos – como texto, fotografias e vídeos – em comunicações cifradas de ponta a ponta exigiria a implementação de uma backdoor ou de uma tecnologia semelhante, denominada “client-side scanning”. Mesmo que este mecanismo fosse criado com o objetivo de combater a criminalidade em linha, ele também seria rapidamente utilizado pelos próprios criminosos, colocando mais cidadãos e empresas em maior risco em linha ao criar vulnerabilidades para todos os utilizadores.
A proteção de dados é uma forte vantagem competitiva
Enquanto empresas tecnológicas que operam na União Europeia, criámos produtos e serviços em conformidade com o sólido framework de proteção de dados da UE, que continua a servir de exemplo e inspiração em todo o mundo. O GDPR permitiu a criação na Europa de empresas tecnológicas éticas e centradas na privacidade, que de outra forma nunca teriam podido competir com Big Techs. Ele deu às empresas europeias uma forte vantagem competitiva nesse domínio a nível internacional e permitiu que consumidores pudessem finalmente encontrar alternativas para serviços americanos e chineses.
Nossos utilizadores, tanto na UE como fora dela, passaram a confiar no nosso empenho em proteger os seus dados e esta confiança é um motor essencial da nossa competitividade.
A curva de aprendizado para nos adaptarmos aos encargos administrativos necessários decorrentes do RGPD foi elevada, mas valeu a pena. No entanto, o Regulamento ASC pode ameaçar este ponto de venda único das empresas de TI europeias e acrescentar uma nova carga administrativa que receamos possa sobrecarregar tanto as nossas empresas como os organismos responsáveis pela aplicação da lei. Tendo em conta o volume de comunicações e conteúdos a transitar pelos nossos serviços, mesmo uma taxa de erros insignificante das tecnologias aplicadas para detetar material abusivo resultaria em milhões de falsos positivos que teriam de ser analisados manualmente todos os dias.
O Regulamento ASC pode afetar a confiança e a segurança em linha
Num mundo em que as violações e os escândalos relacionados com privacidade são cada vez mais comuns, a reputação da UE em matéria de proteção rigorosa dos dados é um ponto de venda único para as empresas que operam dentro das suas fronteiras. Proporciona-nos uma vantagem competitiva, garantindo aos nossos clientes que as suas informações sejam tratadas com o máximo cuidado e integridade.
Uma vez corroída, esta confiança é difícil de reconstruir, e quaisquer medidas que a comprometam, como a deteção obrigatória ou verificação obrigatória de idade, têm o potencial de prejudicar tanto as grandes como as pequenas empresas.
Além disso, a UE adoptou recentemente o Regulamento 2023/2841, que obriga as instituições e organismos da UE a considerar a utilização da cifragem de ponta a ponta entre as suas medidas de gestão de riscos de cibersegurança. Existem também várias propostas “cibernéticas” da UE atualmente em discussão, como a Lei de Ciber-resiliência e a Lei da Cibersegurança. Apoiar uma abordagem oposta para o Regulamento ASC só prejudicaria o framework de cibersegurança da UE, criando um novo conjunto de medidas contraditórias, incoerentes e ineficazes que as empresas não poderiam aplicar sem pôr em risco cidadãos e empresas.
A proposta do Parlamento Europeu vai na direção certa
Por conseguinte, aplaudimos o Parlamento Europeu pela sua posição resoluta na defesa dos direito dos cidadãos europeus à privacidade e à segurança das comunicações. O compromisso do Parlamento Europeu com estes princípios não é apenas um testemunho da sua dedicação aos direitos humanos, mas também um farol de esperança para empresas como as nossas, que dão prioridade a proteção e a segurança de dados.
A posição do Parlamento inclui alternativas a deteção que tem um impacto mínimo na cibersegurança e na proteção de dados e que, segundo peritos, seriam mais eficazes e mais eficientes do que a deteção obrigatória.
Estas mudanças de paradigma significariam ir além da falsa dicotomia entre privacidade e segurança e, ao mesmo tempo, fariam com que a proposta respeitasse o princípio da proporcionalidade, tal como solicitado pelo Comité de Controlo da Regulamentação. Embora não sejam perfeitas aos nossos olhos, as alterações que o Parlamento Europeu introduziu na sua posição são um bom compromisso para manter a segurança e a confidencialidade digitais e para proteger melhor as crianças em linha. Acreditamos que estas alterações estabelecem o equilíbrio certo entre a proteção das crianças e a salvaguarda da privacidade e da cibersegurança.
Enquanto representantes da vibrante comunidade europeia de pequenas empresas, encorajamos os Estados-Membros da UE a continuarem a defender os valores da privacidade, da cibersegurança e da proteção de dados. Estes princípios, não só se alinham com o compromisso da UE para com os direitos humanos, como também servem de base para um ambiente empresarial próspero e competitivo. Defendamos e reforcemos estes princípios, assegurando que a UE continue a ser uma defensora da privacidade no mercado mundial.
Por estas razões, exortamo-lo a:
- Assegurar que a posição do Conselho seja alinhada, tanto quanto possível, com a do Parlamento Europeu. Tal permitirá uma adoção mais rápida do regulamento, com base no importante trabalho do Parlamento Europeu.
- Manter o elevado nível de direitos fundamentais e, em particular, proteção de dados de que gozam os cidadãos da União Europeia.
- Abster-se de obrigar empresas como as nossas a efetuar vigilância em massa da correspondência privada em nome das autoridades policiais.
- Garantir um elevado nível de cibersegurança na UE, protegendo a cifragem de ponta a ponta e introduzindo no texto as salvaguardas necessárias. O controlo do lado do cliente e as backdoors, em particular, não devem ser obrigatórios.
- Preservar a confidencialidade da correspondência.
- Minimizar o ónus administrativo da proposta, tornando-a mais eficaz e eficiente, por meio de alternativas à deteção em massa.
Assinado
Blacknight Solutions (Ireland)
E Foundation (France)
Element (United Kingdom)
Logilab (France)
Mail.de GmbH (Germany)
Mailfence (Belgium)
Matrix Foundation (United Kingdom)
Murena (France)
Nextcloud (Germany)
Olvid (France)
Open-Xchange (Germany)
Proton (Switzerland)
Renvis (Greece)
Surfshark (Lithuania)
TelemetryDeck (Germany)
Threema (Switzerland)
Tresorit (Switzerland)
Tuta (Germany)
Associações comerciais e apoiadores
ACT | The App Association
Cyberstorm
Defend Democracy
Encryption Europe
Gate 15
ISOC-CAT
Myntex
Privacy & Access Council of Canada
Quilibrium
SecureCrypt
Studio Legale Fabiano
*Um resumo minucioso da proposta, elaborado pela ONG EDRi, está disponível aqui
**Para mais informações, ler a declaração de julho de 2023
***Ver, nomeadamente, a página 134 da avaliação de impacto
