Mais uma vez, a Mailfence une forças com empresas focadas em privacidade em toda a Europa para expressar preocupações sobre a proposta de regulamentação de abuso sexual infantil (CSA). Com uma votação decisiva no Conselho da União Europeia marcada para meados de outubro de 2025, os Estados-Membros serão chamados a definir uma posição oficial sobre o regulamento, um momento decisivo para o futuro da criptografia e da privacidade digital na Europa.
Além das sérias preocupações com privacidade e criptografia já apresentadas na primeira carta conjunta, essa nova legislação representa uma ameaça significativa à soberania digital europeia, justamente em um momento em que ela é mais necessária.
A União Europeia desenvolveu um setor tecnológico vibrante, oferecendo alternativas viáveis às grandes empresas de tecnologia norte-americanas, especialmente em áreas como comunicação segura, serviços em nuvem e infraestrutura digital confiável. No entanto, a proposta de Regulamentação CSA coloca em risco esses avanços, atingindo diretamente as empresas que construíram sua vantagem competitiva com base na proteção de dados e na segurança.
Ao obrigar provedores focados em privacidade a escolher entre comprometer sua arquitetura de segurança ou enfrentar exigências de conformidade praticamente impossíveis, o regulamento enfraquece a posição competitiva do setor tecnológico europeu e empurra os usuários de volta para plataformas que não necessariamente seguem os valores europeus ou os padrões de proteção de dados.
Esta segunda carta aberta, coordenada pela Mailfence, Tuta e Proton, é coassinada por grandes empresas europeias de tecnologia focadas em privacidade e por representantes de mais de 45 mil pequenas e médias empresas (PMEs) europeias.
Segunda Carta Aberta aos Estados-Membros da União Europeia sobre a proposta de Regulamentação CSA
“Prezados Ministros e Embaixadores dos Estados Membros da UE,
Nós, empresas europeias signatárias, juntamente com a European DIGITAL SME Alliance, que representa mais de 45 mil pequenas e médias empresas digitais em toda a Europa, escrevemos para expressar nossa profunda preocupação em relação à proposta de Regulamento sobre o Combate ao Abuso Sexual Infantil (CSA).
Proteger as crianças e garantir a segurança de todos os usuários em nossos serviços e na internet como um todo está no centro da nossa missão como empresas comprometidas com a privacidade.
Vemos a privacidade como um direito fundamental, que sustenta a confiança, a segurança e a liberdade on-line tanto para adultos quanto para crianças. No entanto, estamos convencidos de que a abordagem atualmente seguida pela Presidência dinamarquesa não apenas tornaria a internet menos segura para todos, como também enfraqueceria um dos objetivos estratégicos mais importantes da União Europeia: avançar rumo a níveis mais altos de soberania digital.
A soberania digital é o futuro estratégico da Europa
Em um mundo cada vez mais instável, a Europa precisa desenvolver e controlar sua própria infraestrutura digital segura, bem como seus serviços e tecnologias, de acordo com os valores europeus. A única forma de reduzir os riscos associados a essa dependência é fortalecer os provedores europeus de tecnologia inovadora..
A soberania digital é importante por dois motivos principais:
- Independência econômica: O futuro digital da Europa depende da competitividade de suas próprias empresas. No entanto, forçar os serviços europeus a enfraquecer seus padrões de segurança por meio da varredura de todas as mensagens (inclusive as criptografadas) com tecnologias de client-side scanning colocaria em risco a segurança dos usuários e violaria os altos padrões europeus de proteção de dados. Como consequência, usuários europeus e clientes globais perderiam a confiança nos serviços locais, migrando para provedores estrangeiros. Isso tornaria a Europa ainda mais dependente das gigantes americanas e chinesas, que muitas vezes não seguem nossas regras, enfraquecendo a capacidade competitiva do bloco.
- Segurança nacional: A criptografia é essencial para a segurança nacional. Obrigar empresas a adotar portas dos fundos (backdoors) ou outras tecnologias de varredura criaria vulnerabilidades inevitáveis, que poderiam ser exploradas por agentes hostis e cibercriminosos. Por esse motivo, os próprios governos se isentaram das obrigações de varredura previstas na proposta da Regulamentação CSA. Ainda assim, informações sensíveis de empresas, políticos e cidadãos estariam em risco caso a proposta avançasse, enfraquecendo a capacidade da Europa de proteger sua infraestrutura crítica, suas empresas e seu povo.
A Regulamentação CSA ameaça a confiança nas empresas europeias
A confiança é a maior vantagem competitiva da Europa. Graças ao GDPR e à sólida estrutura de proteção de dados europeia, as empresas do continente construíram serviços nos quais usuários do mundo todo confiam pela segurança, integridade e respeito à privacidade.
Essa reputação foi conquistada com esforço e representa um diferencial único que os monopólios da Big Tech jamais conseguirão igualar. Trata-se de uma das poucas, senão a única, vantagens competitivas reais da Europa em relação aos Estados Unidos e à China no setor tecnológico.
No entanto, a Regulamentação CSA coloca esse sucesso em risco.
O texto legal enfraqueceria as empresas europeias éticas e centradas na privacidade, ao obrigá-las a comprometer as mesmas garantias de segurança que hoje diferenciam seus serviços no cenário internacional. Isso é ainda mais preocupante considerando que o governo dos Estados Unidos proíbe explicitamente suas empresas de enfraquecer a criptografia, mesmo que isso seja exigido por leis da União Europeia¹.
No fim das contas, a Regulamentação CSA seria um presente para as empresas norte-americanas e chinesas, pois faria a Europa destruir sua única vantagem competitiva, abrindo ainda mais espaço para a dominação da Big Tech.
As contradições enfraquecem as ambições digitais da Europa
A União Europeia assumiu o compromisso de reforçar a cibersegurança por meio de medidas como o NIS2, o Cyber Resilience Act e o Cybersecurity Act². Essas políticas reconhecem que a criptografia é essencial para a independência digital da Europa. A Regulamentação CSA não deve comprometer esses avanços ao criar vulnerabilidades sistêmicas obrigatórias.
Seria incoerente investir em segurança cibernética com uma mão e, ao mesmo tempo, legislar contra ela com a outra.
As pequenas e médias empresas europeias serão as mais afetadas
As pequenas e médias empresas (PMEs) seriam as mais prejudicadas caso fossem obrigadas a implementar a varredura no lado do cliente (client-side scanning). Diferentemente das grandes corporações de tecnologia, as PMEs geralmente não dispõem de recursos financeiros e técnicos para desenvolver e manter mecanismos intrusivos de vigilância, o que tornaria o cumprimento da norma financeiramente inviável ou as forçaria a deixar o mercado.
Além disso, muitas dessas empresas construíram sua posição no mercado com base na oferta de altos níveis de proteção de dados e privacidade, um fator decisivo, especialmente na Europa, para que muitos consumidores prefiram seus produtos aos das Big Techs. Tornar obrigatória a varredura no lado do cliente enfraqueceria exatamente esse diferencial competitivo que define tantas empresas europeias.
Isso sufocará a inovação europeia e consolidará o domínio de provedores estrangeiros. Em vez de construir um ecossistema digital vibrante e independente, a Europa corre o risco de legislar contra suas próprias empresas, expulsando-as do mercado.
Por esses motivos, fazemos um apelo para que:
- Sejam rejeitadas todas as medidas que obriguem a implementação de varredura no lado do cliente (client-side scanning), portas dos fundos (backdoors) ou vigilância em massa de comunicações privadas, como as que constam atualmente na proposta dinamarquesa de posição do Conselho sobre a Regulamentação CSA.
- Reitere-se a proteção da criptografia, como forma de fortalecer a cibersegurança e a soberania digital europeia.
- Preserve-se a confiança que as empresas europeias conquistaram internacionalmente.
- Garanta-se que as regulamentações da União Europeia fortaleçam, e não enfraqueçam, a competitividade das pequenas e médias empresas europeias (PMEs).
- Sejam adotadas medidas de proteção infantil eficazes, proporcionais e compatíveis com o objetivo estratégico da Europa de garantir sua soberania digital.
A soberania digital não pode ser alcançada se a Europa comprometer a segurança e a integridade de suas próprias empresas ao impor varredura no lado do cliente ou outras ferramentas e metodologias destinadas a escanear ambientes criptografados, algo que especialistas já confirmaram ser impossível de realizar sem enfraquecer a criptografia.
Para liderar a economia digital global, a União Europeia deve proteger a privacidade, a confiança e a criptografia.”
| Signatários: | ||
| Blacknight (Irlanda) | Logilab (França) | Skylabs (Irlanda) |
| Commown (França) | mailbox (Alemanha) | Sorware Ay (Finlândia) |
| CryptPad (França) | Mailfence (Bélgica) | Soverin (Holanda) |
| Ecosia (Alemanha) | Mailo (França) | Startmail (Holanda) |
| Element (Alemanha) | moji (França) | Surfshark (Holanda) |
| E-Foundation (França) | Murena (França) | TeleCoop (França) |
| European DIGITAL SME Alliance (Europa) | Nextcloud (Alemanha) | The Good Cloud (Holanda) |
| Fabiano Law Firm (Itália) | Nord Security (Lituânia) | Tuta Mail (Alemanha) |
| FlokiNET (Islândia) | Octopuce (França) | Unicorns Lithuania (Lituânia) |
| FFDN (França) | Olvid (França) | Volla Systeme GmbH (Alemanha) |
| Gentils Nuages (França) | OpenCloud (Alemanha) | WEtell (Alemanha) |
| Hashbang (França) | OpenTalk (Alemanha) | Wire (Suíça) |
| Heinlein Group (Alemanha) | Phoenix P&D (Alemanha) | XWiki SAS (França) |
| LeBureau.coop (França) | Proton (Suíça) | zeitkapsl (Áustria) |
2 https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_pt
