Salvar a criptografia ou controlá-la?

A criptografia ponta a ponta E2EE é uma das maiores conquistas da privacidade digital. Ela garante que apenas remetente e destinatário acessem o conteúdo de uma mensagem, protegendo bilhões de usuários de atores mal intencionados e Estados autoritários.

No entanto, quando crimes graves ocorrem em ambientes criptografados, surge um dilema: como responsabilizar plataformas sem minar a segurança global? Duas decisões recentes – uma do Superior Tribunal de Justiça (STJ) brasileiro e outra do Reino Unido – mostram que a resposta está longe de ser simples, mas precisa urgentemente de equilíbrio.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

No Recurso Especial 2.172.296, o STJ analisou se o WhatsApp poderia ser responsabilizado por não remover imagens íntimas de uma menor compartilhadas sem consentimento. A plataforma alegou impossibilidade técnica devido à criptografia ponta a ponta, que impede até mesmo o provedor de acessar o conteúdo das mensagens.

O tribunal, porém, rejeitou o argumento ressaltando que a criptografia não exonera os provedores de adotar medidas equivalentes para mitigar danos, como bloquear contas de infratores identificáveis, conforme destacado pela relatora, ministra Nancy Andrighi.

O caso se baseou no artigo 21 do Marco Civil da Internet, que exige que provedores removam conteúdos que violam a intimidade – especialmente de menores – após notificação específica. A decisão reforçou que, mesmo em serviços criptografados, plataformas devem agir proativamente quando têm informações suficientes (como número de telefone associado à conta) para identificar e suspender infratores.

O STJ não exigiu a quebra da criptografia, mas sim o uso de ferramentas já disponíveis: bloquear contas, restringir acesso ou excluir perfis. Essa abordagem evita a relativização da privacidade, mas impõe um dever de diligência, qual seja, provedores não podem se omitir sob o pretexto de neutralidade técnica quando há meios alternativos de proteção às vítimas.

Do outro lado do oceano, o Reino Unido optou por um caminho perigoso ao obrigar a Apple a criar um backdoor (brecha intencional) no seu serviço iCloud, alegando necessidades investigativas. A exigência, feita sob a Lei de Poderes Investigativos de 2016, foi denunciada pela Global Encryption Coalition que afirmou que não há como criar uma brecha “somente para autoridades” sem comprometer a segurança de todos os usuários.

A Apple removeu temporariamente a criptografia avançada para usuários britânicos, mas recusando-se a enfraquecer globalmente seu sistema. O caso expõe uma contradição, já que governos querem acesso privilegiado a dados, mas ignoram que criminosos apenas poderiam migrar para outras ferramentas, enquanto cidadãos comuns perderiam proteção.

Além disso, ao longo dos anos, diversos países vêm pressionando cada vez mais provedores a criarem backdoors em suas aplicações na Internet. Em fevereiro de 2024, a Corte Europeia de Direitos Humanos (CEDH) condenou a Rússia no caso Podchasov v. Russia, por exigir que o Telegram entregasse chaves de decifração. O CEDH entendeu que enfraquecer a criptografia para alguns é enfraquecê-la para todos, criando riscos sistêmicos.

A Corte corretamente destacou que a criptografia é vital para proteger não apenas a privacidade, mas também a liberdade de expressão e a segurança econômica. Ademais, ressaltou que existem alternativas viáveis, como investigações baseadas em metadados ou hacking direcionado, que não exigem comprometer a segurança coletiva.

Dessa maneira, a corte enviou um recado claro de que nenhum interesse estatal justifica expor bilhões de pessoas a riscos globais. A decisão também expôs a hipocrisia de regimes que, enquanto combatem crimes, adotam métodos que beneficiam criminosos – afinal, brechas na criptografia são exploradas primeiro por atores públicos e privados mal-intencionados.

Esses três casos demonstram que há uma diferença está na compreensão técnica. Se por um lado o STJ e o CEDH reconhecem que a criptografia é neutra, não protegendo criminosos por escolha, mas por design matemático, as autoridades do Reino Unido, tratam a tecnologia como “inimiga”, ignorando que criminosos profissionais usam ferramentas muitas vezes ilegais para cometer crimes, não iCloud ou WhatsApp. Quem paga o preço são usuários comuns: mães que armazenam fotos de filhos, médicos que discutem prontuários, empresários que protegem segredos industriais.

É claro que a criptografia não é perfeita, mas é insubstituível. Ela protege desde transações bancárias até comunicações de vítimas de violência doméstica. Decisões como a do STJ brasileiro e da CEDH provaram que é possível responsabilizar plataformas digitais sem relativizar a criptografia ou sacrificar a privacidade coletiva.

O segredo não está em criar métodos “inovadores” de cibervigilância, mas em aplicar ferramentas já existentes, respeitando os limites técnicos e éticos da tecnologia. Enquanto o Reino Unido insiste em tratar a criptografia como inimiga, Brasil e Europa mostram que o caminho é outro: usar o que já está à mão, sem abrir brechas perigosas. O Reino Unido errou ao tratar a criptografia como inimiga. 

Resta ao mundo aprender com esses casos: sem privacidade, não há liberdade – mas há uma ilusão de segurança.