SÃO PAULO – O Cyber Intelligence Sharing and Protection Act (Lei de Proteção e Compartilhamento de Inteligência Cibernética) – ou Cispa – é um projeto de lei que dispõe sobre o “compartilhamento de informações e inteligência sobre segurança digital” e que está em trâmite na Câmara dos Deputados dos Estados Unidos desde o fim do ano passado, ainda sem data para ser votado.

A proposta pretende melhorar o poder dos EUA para combater crimes e ataques virtuais, promovendo e incentivando a troca de informações entre governo federal, agências de segurança e empresas privadas. Ficaria, assim, permitido que provedores de internet, redes sociais e qualquer outra entidade privada repassem (e troquem entre si) informações “que digam respeito a ciberameaças” para o governo qualquer ordem judicial. E que o governo faça o mesmo, compartilhando com empresas as pistas sobre possíveis ataques.

Quaisquer informações – incluindo dados pessoais de usuários estrangeiros publicados em redes sociais – podem entrar nessa rede de troca de dados. Basta que alguma das entidades contempladas pela lei julgue necessário divulgá-las para manter a segurança de redes dos EUA. E não há garantias de como essas informações serão usadas.

“Informações privadas podem ser compartilhadas a despeito de qualquer outra disposição de lei”, diz o texto. Isso significa que as disposições da Cispa poderiam passar por cima de todas as garantias de privacidade de dados vigentes nos EUA.

Movimento. Indignadas, agências de defesa da liberdade na internet proclamaram a semana passada como a “Semana contra a espionagem virtual”, aos moldes dos protestos que resultaram no adiamento indefinido da votação da Sopa no Congresso.

A Semana articulou usuários, grupos hackers e entidades civis. Mas não as empresas de tecnologia. Desta vez, ao contrário da mobilização contra a Sopa, companhias como Facebook, Microsoft, Intel, IBM e Oracle se declaram publicamente a favor da aprovação da Cispa. As empresas argumentam que é necessário ter uma forma mais efetiva e menos onerosa de compartilhar conhecimento sobre ameaças digitais para proteger melhor seus usuários e suas patentes.

Se a Sopa não era interessante para as empresas de tecnologia, pois dava a elas a prerrogativa de monitorar seus usuários e as considerava responsáveis pelos atos deles na rede, a Cispa tira toda a responsabilidade e a repassa para entidades governamentais. O projeto ainda determina que uma empresa não pode ser processada por um usuário por entregar ao governo as informações dele que se encaixem na lei.

Segundo Michael Rogers, um dos deputados proponentes da Cispa, a ideia é proteger os Estados Unidos de roubos de propriedades intelectuais que, nas mãos de concorrentes externos, colocam as indústrias do país em uma desvantagem competitiva injusta. Além disso, ainda segundo o congressista, a Cispa “visa somente proteger a rede norte-americana de computadores de ataques hackers em nome da segurança nacional”.

Além de acusar a Cispa de potencialmente criar um estado de vigilância permanente, os advogados Rainey Reitman e Lee Tien, da Electronic Frontier Foundation (EFF), dizem que o texto da proposta usa uma linguagem ampla para definir o que é uma ameaça virtual, o que deixa a porta aberta para abusos.

Ryan Radia é diretor de estudos em tecnologia do Competitive Enterprise Instituto, uma organização não governamental dos EUA que promove a livre iniciativa e as liberdades individuais. Ele falou ao Link sobre as propostas da Cispa.

Quais pontos da Cispa que mais preocupam?

A Cispa aumenta imensamente o poder federal, minando a liberdade de contrato e prejudicando a competitividade do setor de tecnologia dos EUA. Além disso, a liberdade de varredura de dados criada pela lei efetivamente tira das empresas a capacidade de garantir a seus usuários que suas informações não serão compartilhadas com o governo na ausência de um processo legal válido. A Cispa permite que o governo acesse informações de cidadãos para propósitos de investigação não relacionados à segurança digital. O projeto chega ao ponto de imunizar um provedor que compartilha dados não relacionados a ameaças digitais desde que acredite agir de “boa fé”.

Como a Cispa pode violar direitos de usuários comuns?

Ela torna muito mais fácil para entidades governamentais juntarem forças com empresas privadas para facilitar a vigilância eletrônica em massa. Com isso, uma grande quantidade de informações pessoais armazenadas na nuvem podem acabar em mãos erradas. A iminente ameaça de o governo acessar informações individuais sem o devido processo judicial poderia diminuir os ânimos de discursos anônimos, desencorajar empresas e consumidores a adotarem tecnologias em nuvem e minar os princípios constitucionais fundamentais.

A Cispa pode ser chamada de Sopa 2.0?

A Cispa e a Sopa são projetos de leis muito diferentes que se propõem a falar de assuntos completamente diferentes – segurança virtual e proteção a propriedade intelectual, respectivamente. Elas só são similares no fato de ambas aumentarem o poder do governo e potencialmente ameaçarem a liberdade na internet, mesmo que de formas bastante diferentes.

O que acha do apoio das empresas de tecnologia à Cispa?

Essas empresas reconhecem que ataques virtuais representam uma séria ameaça à segurança e à integridade de sistemas que guardam dados confidenciais dos usuários. Muitas delas querem compartilhar informações sobre possíveis ataques com outras empresas e, em alguns casos, com entidades governamentais. Mas as atuais leis federais limitam como essas informações poder ser compartilhadas. Assim, as empresas querem que o Congresso reforme as leis existentes para permitir um compartilhamento de informação mais ágil. Não há evidências que as empresas de tecnologia estejam apoiando a Cispa por razões nefastas ou que elas estejam ansiosas para abusar de suas relações de confiança com os usuários.

A Cispa tem chances reais de ser aprovada?

Embora os principais líderes do Congresso estejam cientes da campanha antiCispa, ainda não está claro se a oposição ao projeto vai influenciar significativamente o resultado da votação. Continuo cautelosamente otimista de que a Cispa não vai ser promulgada na sua forma atual, embora a probabilidade de que alguma forma de legislação sobre cibersegurança seja transformada em lei este ano ainda seja significativa.

