O que o projeto de lei do Reino Unido implica e, se aprovado, como afetará as empresas que realizam negócios on-line?
Por Charlotte Trueman
Três anos e quatro primeiros-ministros após o governo do Reino Unido ter publicado pela primeira vez o seu white paper Online Harms – a base da atual Lei de Segurança Online – a ambiciosa tentativa do Partido Conservador de regular a Internet regressou ao Parlamento após várias emendas.
Se o projeto de lei se tornar lei, aplicar-se-á a qualquer serviço ou website que tenha utilizadores no Reino Unido ou que vise o Reino Unido como um mercado, mesmo que não esteja sediado no país. O não cumprimento das regras propostas colocará as organizações em risco de multas até 10% do volume de negócios anual global ou 18 milhões de libras esterlinas (22 milhões de dólares), o que for maior.
Uma versão algo inchada e confusa do seu antigo eu, o projeto de lei, que foi retirado da agenda legislativa quando Boris Johnson foi expulso em julho, passou agora a fase de relatório final, o que significa que a Câmara dos Comuns tem agora uma última oportunidade para debater o seu conteúdo e votar a sua aprovação.
No entanto, a legislação precisa de passar ilesa pela Câmara dos Lordes antes de receber o consentimento real e de se tornar lei. Embora o prazo final do projeto de lei ainda não tenha sido publicado, se não for aprovado até abril de 2023, de acordo com as regras parlamentares, a legislação seria totalmente abandonada e o processo teria de recomeçar tudo de novo num novo Parlamento.
O que é a Lei de Segurança Online?
A Lei de Segurança Online é uma proposta de legislação que visa manter os websites e os diferentes tipos de serviços baseados na Internet livres de material ilegal e nocivo, mantendo ao mesmo tempo a liberdade de expressão. O projeto de lei foi concebido para manter os utilizadores da Internet protegidos de conteúdos fraudulentos e outros conteúdos potencialmente nocivos e impedir as crianças, em particular, de acederem a material nocivo. Para tal, estabelece requisitos sobre a forma como os meios de comunicação social e outras plataformas online avaliam e eliminam material e conteúdo ilegal que consideram prejudicial. O governo descreve a legislação como o seu “compromisso de fazer do Reino Unido o lugar mais seguro do mundo para estar online”.
A lei aplica-se a motores de busca; serviços de Internet que hospedam conteúdos gerados pelo utilizador, tais como plataformas de redes sociais; fóruns online; alguns jogos online; e sítios Web que publicam ou exibem conteúdos pornográficos.
Partes da legislação imitam de perto as regras estabelecidas na recentemente aprovada Lei dos Serviços Digitais da UE (DSA), que proíbe a prática de visar utilizadores online com base na sua religião, género ou preferências sexuais e exige que as grandes plataformas online revelem que medidas estão a tomar para combater a desinformação ou publicidade.
A Ofcom, o regulador de comunicações do Reino Unido, será nomeado regulador da Lei de Segurança Online e será dotado de uma série de poderes para recolher as informações necessárias para apoiar a sua atividade de supervisão e aplicação.
Quais são as principais propostas do projeto de lei?
Atualmente, se um utilizador publicar conteúdo ilegal ou prejudicial online, a plataforma intermediária que permite o acesso ao conteúdo tem normalmente um escudo de responsabilidade, o que significa que o editor não se torna responsável até ter conhecimento do conteúdo, altura em que deve agir para o remover. Segundo a lei, as empresas precisam de procurar ativamente conteúdos ilegais e removê-los assim que aparecem, em vez de esperar que alguém os denuncie e depois agir.
A Lei de Segurança Online impõe um quadro regulamentar a estas plataformas intermediárias, exigindo-lhes que assumam a responsabilidade pelos conteúdos gerados pelos utilizadores e que garantam que estão a tomar as medidas necessárias para assegurar que os seus sistemas e processos fornecem “proteção adequada dos cidadãos contra os danos apresentados pelos conteúdos”.
Embora o projeto de lei não defina “adequado”, declara que os serviços regulados devem fornecer proteção contra danos “através da utilização adequada pelos fornecedores desses serviços de sistemas e processos concebidos para reduzir o risco de tais danos”.
No projeto original do projeto de lei, o governo britânico exigia que as empresas de Internet monitorizassem o conteúdo “legal, mas prejudicial” dos utilizadores. No entanto, após terem sido manifestadas preocupações sobre a responsabilidade final do governo na definição do que se enquadra nesta categoria, foram feitas alterações ao projeto de lei, substituindo a disposição por novas regras para que as empresas fossem mais transparentes quanto às políticas internas de moderação de conteúdos, exigindo, por exemplo, que os serviços dissessem explicitamente porque razão determinados conteúdos deveriam ser removidos. Devem também oferecer o direito de recurso quando as mensagens são eliminadas.
Além disso, as empresas não poderão remover ou restringir o conteúdo legal, ou suspender ou proibir um utilizador, a menos que as circunstâncias para o fazer estejam claramente definidas nos seus termos.
Se a legislação se tornasse lei, as empresas de comunicação social seriam legalmente obrigadas a remover conteúdo ilegal, remover material que viole os seus próprios termos de serviço, e proporcionar aos adultos uma maior escolha sobre o conteúdo que veem e com o qual se envolvem, mesmo que seja legal. Por exemplo, ecrãs pop-up podem informar os utilizadores de que um síte apresenta determinados conteúdos que o síte considera prejudiciais para determinados utilizadores.
Os conteúdos que se inserem no âmbito da legislação incluem material que encoraja a automutilação ou o suicídio, bem como imagens não consensuais, tais como a chamada pornografia falsa, onde o software de edição é utilizado para criar e distribuir imagens ou vídeos falsos de pessoas sexualizadas sem a sua permissão.
O material que envolve automutilação é definido como “conteúdo legal, mas prejudicial” (desde que não encoraje ativamente a automutilação) e é classificado como um “dano prioritário” – um tópico sobre o qual as plataformas devem ter uma política. Se não aplicarem a sua política declarada a este tipo de conteúdo, poderão ser sujeitos a multas por parte da Ofcom.
Em março de 2022, o governo acrescentou também um requisito para os motores de busca e outras plataformas que hospedam conteúdos gerados por terceiros para os proteger de anúncios pagos fraudulentos e impedir que anúncios fraudulentos apareçam nos seus sítios.
As empresas tecnológicas seriam também obrigadas a publicar mais informações sobre os riscos que as suas plataformas representam para as crianças e a mostrar como fazem cumprir os limites de idade dos utilizadores para evitar que as crianças contornem os métodos de autenticação. Além disso, se a Ofcom tomar medidas contra um serviço, os detalhes dessa ação disciplinar devem ser publicados.
Os críticos estão preocupados com os backdoors de encriptação
Desde que o projeto de lei foi proposto pela primeira vez, pessoas de todo o espectro político têm argumentado repetidamente que as atuais disposições da legislação prejudicariam os benefícios da encriptação nas comunicações privadas, reduziriam a segurança da Internet para os cidadãos e empresas do Reino Unido, e comprometeriam a liberdade de expressão. Isto porque durante o Verão, o governo acrescentou uma nova cláusula que exige que as empresas tecnológicas forneçam mensagens codificadas de ponta a ponta para verificar se existe material sobre abuso sexual de crianças (CSAM), para que este possa ser denunciado às autoridades. Contudo, a única forma de garantir que uma mensagem não contém material ilegal seria as empresas utilizarem a digitalização do lado do cliente e verificarem o conteúdo das mensagens antes de estas serem encriptadas.
Numa carta aberta assinada por 70 organizações, peritos em segurança cibernética e funcionários eleitos após o Primeiro-Ministro Rishi Sunak ter anunciado que trazia o projeto de lei de volta ao Parlamento, os signatários argumentaram que “a encriptação é fundamental para assegurar a proteção online dos utilizadores da Internet, para construir segurança económica através de uma economia pró-empresarial do Reino Unido que possa enfrentar a crise do custo de vida e garantir a segurança nacional”.
“As empresas britânicas deveriam ter menos proteção para os seus fluxos de dados do que as suas congéneres nos Estados Unidos ou na União Europeia, deixando-as mais suscetíveis a ataques cibernéticos e roubo de propriedade intelectual”, observava a carta.
Matthew Hodgson, cofundador da Element, uma aplicação britânica descentralizada de mensagens, disse que embora não seja controverso concordar que as plataformas devem fornecer ferramentas para proteger os utilizadores de qualquer tipo de conteúdo – seja abusivo ou apenas algo que eles não queiram ver – o que é controverso é a ideia de exigir efetivamente backdoors para conteúdo privado, como mensagens encriptadas, para o caso de ser mau conteúdo.
“Assim que se colocar qualquer tipo de backdoor, que possa ser utilizado para quebrar a encriptação, será utilizado pelos maus da fita”, disse ele. “E ao abri-la como um meio para que os atores corruptos ou malfeitores de qualquer tipo possam minar a encriptação, poderá, em primeiro lugar, não ter a encriptação e a coisa toda desmoronar-se”.
Hodgson disse que parece haver mal-entendidos por parte de algumas pessoas que, por um lado, disseram expressamente que não querem colocar backdoors em mensagens encriptadas, mas, por outro lado, afirmam que as empresas tecnológicas precisam de ter a capacidade de verificar as mensagens privadas de todos se estas contiverem conteúdo ilegal.
“Essas duas declarações são completamente contraditórias, e infelizmente os poderosos nem sempre apreciam essa contradição”, disse, acrescentando que o Reino Unido poderia acabar numa situação como a Austrália, onde o governo aprovou legislação que permite às agências governamentais exigir às empresas que entreguem informações e dados dos utilizadores, mesmo que estes estejam protegidos por encriptação.
Hodgson argumenta que o governo britânico não deveria facilitar a introdução de infraestruturas que corroem a privacidade, mas sim impedir que esta se torne uma realidade que regimes mais autoritários poderiam adotar, utilizando o Reino Unido como exemplo moral.
Há também preocupação sobre a forma como algumas das disposições do projeto de lei serão aplicadas. Francesca Reason, advogada da equipa de defesa regulamentar e empresarial da firma Birketts LLP, afirmou que muitas empresas tecnológicas estão preocupadas com os requisitos mais onerosos que lhes possam ser impostos.
Razão disse que há também questões de praticabilidade e empatia que precisam de ser resolvidas. Por exemplo, irá o governo processar um adolescente vulnerável por colocar a sua própria imagem de auto-flagelação online?
O foco da lei de segurança está nas crianças
Para evitar o que um membro conservador do Parlamento descreveu como “legislar contra os sentimentos feridos”, as alterações ao projeto de lei antes do seu regresso ao Parlamento colocam agora o enfoque na proteção de crianças e adultos vulneráveis. O projeto de lei alterado torna ilegal a visualização de certos tipos de conteúdo por crianças – como a pornografia – mas não por adultos, enquanto que nas versões anteriores do projeto de lei, teria sido ilegal para qualquer pessoa visualizar o conteúdo. Agora, os adultos só precisam de receber um aviso sobre o conteúdo que um fornecedor de serviços considere potencialmente censurável ou prejudicial nas suas diretrizes de conteúdo.
No entanto, como os defensores da privacidade estão preocupados com o ataque do projeto de lei à encriptação, alguns defensores da segurança argumentam que a legislação agora não faz o suficiente para proteger os mais vulneráveis de danos online.
“Há uma fação que pensa que os adultos vulneráveis estão agora fora desse âmbito de proteção”, disse a razão, observando que o apetite de alguém por conteúdo nocivo não desaparece subitamente no momento em que faz 18 anos.
“O outro argumento de muitas pessoas é que os adultos ainda serão capazes de publicar e ver qualquer coisa legal, mesmo que seja potencialmente prejudicial, desde que não viole os Termos de Serviço da plataforma”, disse ela.
Qual será o impacto do projeto de lei na indústria tecnológica?
Na sua forma atual, estima-se que a lei terá impacto em mais de 25.000 empresas de tecnologia, e embora muito se tenha centrado na forma como as chamadas empresas de tecnologia de grande dimensão irão cumpri-la, os pequenos fornecedores de Internet que oferecem um espaço onde os utilizadores podem partilhar ideias ou que são monetizados por anúncios também serão afetados pela lei.
A razão disse que uma das formas que as empresas de tecnologia podem escolher para navegar nesta legislação é bloquear completamente as crianças dos seus sites ou sanear a sua plataforma a um nível que seja apropriado para o utilizador mais jovem por defeito.
Além disso, como resultado destas novas regras, um grande número de sítios exigirá que os visitantes provem a sua identidade, indicando que têm idade suficiente para aceder a determinados conteúdos. A verificação online da idade é algo que o governo tentou e não conseguiu promulgar no passado e, como resultado, Matthew Peake, Diretor Global de Políticas Públicas na plataforma de verificação de identidade (IDV) Onfido, adverte que, a menos que o governo e a Ofcom trabalhem com a indústria tecnológica e os fornecedores de IDV para obterem uma melhor compreensão do que é realmente possível, o projeto cairá por terra.
“Tem uma visão muito forte de que não há necessidade de negociar entre privacidade e bom IDV, é possível verificar a identidade de alguém de uma forma muito robusta sem corroer ou comprometer a sua privacidade”, disse ele. “Queremos que essa mensagem seja compreendida pelo governo e pelos defensores da privacidade, porque todos nós queremos ter uma experiência on-line segura”. Esse é o objetivo final”.
No entanto, embora muitos políticos tenham declarado publicamente que as pessoas não deveriam poder criar contas anónimas em plataformas de comunicação social, Peake argumenta que o anonimato é vital para permitir aos denunciantes, vítimas de violência doméstica e outros com razões muito legítimas para manterem a sua identidade em segurança obscurecida no acesso à Internet.
O que é que as organizações o veriam fazer?
O Chartered Institute for IT – BCS constatou que apenas 14% dos 1.300 profissionais de TI consideravam a lei “adequada ao objetivo” e 46% consideravam-na “inviável”. Apesar do inquérito de 2022 do BCS, a expectativa é que a legislação seja aprovada, em grande parte porque o objetivo fundamental do projeto de lei – manter as crianças seguras online – é um grande argumento político.
A sócia da Deloitte Legal, Joanna Conway, disse que a equipa de regulamentação da Internet da empresa de consultoria está a rever todos os regulamentos governamentais propostos e a aconselhar organizações que fazem negócios na Internet e que são suscetíveis de serem afetadas por estas novas leis.
“Estamos no ponto em que há um grande número de leis a entrar, por isso estamos a passar de um espaço largamente não regulamentado para algo que se está a tornar altamente regulamentado e também de alto risco, especialmente quando olhamos para as sanções que estão associadas a algumas destas novas medidas”, disse ela.
Conway disse que o conselho que a sua equipa deu às empresas é verificar primeiro se estas serão realmente afetadas pela lei. Embora a legislação se aplique ao conteúdo gerado pelo utilizador, disse ela, “existem exclusões em relação a isso, pelo que é realmente importante verificar se a sua empresa está dentro do âmbito de aplicação”, disse ela. “Se estiver dentro do âmbito de aplicação, esteja preparado para as suas avaliações de risco, porque terá de o fazer”. As exceções incluem:
- Mensagens SMA
- Mensagens MMS
- Comunicações áudio ao vivo um-a-um
- Comentários e críticas sobre o conteúdo do fornecedor
- Conteúdo do editor de notícias
“Estamos a olhar para os reguladores com sanções significativas à sua disposição, tanto aqui como na UE, pelo que poderá acabar no lado errado de ambos se estiver a fornecer à Europa como região geográfica”, disse ela.
Para as empresas mais pequenas, muitas das quais não terão o mesmo nível de recursos que as plataformas maiores que já empregam moderadores de conteúdo, Conway observa que os novos requisitos de segurança – uma vez que as empresas planeiam implementar o que a lei lhes exige – são estabelecidos de forma proporcional, “refletindo as diferentes dimensões, recursos e níveis de risco das empresas abrangidas”.
No entanto, ela assinala que, embora as plataformas maiores cheguem frequentemente às manchetes quando as decisões de moderação de conteúdos correm mal, as plataformas mais pequenas são muitas vezes vistas como de alto risco porque têm menos recursos para remover conteúdos ilegais e prejudiciais.