Ciência e Tecnologia News 

O que você precisa saber sobre a Lei de Segurança Online do Reino Unido

tutoriaisweb

Três anos e quatro primeiros-ministros depois que o governo do Reino Unido publicou pela primeira vez seu white paper Online Harms – a base para a atual Lei de Segurança On-line [Online Safety Bill] – a ambiciosa tentativa do Partido Conservador de regulamentar a Internet voltou ao Parlamento após várias emendas.

Se o projeto de lei se tornar lei, ele se aplicará a qualquer serviço ou site que tenha usuários no Reino Unido ou que vise o Reino Unido como mercado, mesmo que não seja baseado no país. O não cumprimento das regras propostas colocará as organizações em risco de multas de até 10% do faturamento anual global ou £ 18 milhões (US$ 22 milhões), o que for maior.

Uma versão um tanto inchada e confusa de sua antiga versão, o projeto de lei, que foi retirado da agenda legislativa quando Boris Johnson foi deposto em julho, agora passou de sua fase de relatório final, o que significa que a Câmara dos Comuns agora tem uma última chance de debater seu conteúdo e votar para aprová-lo.

No entanto, a legislação precisa passar ilesa pela Câmara dos Lordes antes de receber o consentimento real e se tornar lei. Embora o cronograma final do projeto de lei ainda não tenha sido publicado, se não for aprovado até abril de 2023, de acordo com as regras parlamentares, a legislação seria totalmente abandonada e o processo precisaria começar tudo de novo em um novo Parlamento.

O que é a Lei de Segurança On-line?

A Lei de Segurança On-line é uma proposta de legislação que visa manter sites e diferentes tipos de serviços baseados na Internet livres de material ilegal e prejudicial, ao mesmo tempo em que defende a liberdade de expressão. O projeto de lei foi elaborado para manter os usuários da Internet protegidos contra conteúdo fraudulento e outros conteúdos potencialmente prejudiciais e impedir que crianças, em particular, acessem material prejudicial. Ele faz isso estabelecendo requisitos sobre como as plataformas de mídia social e outras plataformas on-line avaliam e excluem materiais e conteúdos ilegais que consideram prejudiciais. O governo descreve a legislação como seu “compromisso de tornar o Reino Unido o lugar mais seguro do mundo para se estar on-line”.

A lei se aplica aos mecanismos de busca; serviços de internet que hospedam conteúdo gerado pelo usuário, como plataformas de mídia social; fóruns on-line; alguns jogos on-line; e sites que publicam ou exibem conteúdo pornográfico.

Partes da legislação imitam de perto as regras estabelecidas na Lei de Serviços Digitais (DSA), recentemente aprovada pela UE, que proíbe a prática de segmentar usuários on-line com base em sua religião, gênero ou preferências sexuais e exige que grandes plataformas on-line divulguem quais etapas estão tomando para combater desinformação ou propaganda.

A Ofcom, reguladora de comunicações do Reino Unido, será nomeada reguladora da Lei de Segurança On-line e receberá uma série de poderes para coletar as informações necessárias para apoiar sua atividade de supervisão e fiscalização.

Quais são as principais propostas do projeto de lei?

Atualmente, se um usuário publica conteúdo ilegal ou prejudicial on-line, a plataforma intermediária que permite o acesso ao conteúdo normalmente tem um escudo de responsabilidade, o que significa que o editor não se torna responsável até que tenha conhecimento do conteúdo, momento em que deve agir para removê-lo. De acordo com o projeto de lei, as empresas precisam procurar ativamente por conteúdo ilegal e removê-lo assim que aparecer, em vez de esperar que alguém o denuncie e então agir.

A Lei de Segurança On-line impõe uma estrutura regulatória a essas plataformas intermediárias, exigindo que elas assumam a responsabilidade pelo conteúdo gerado pelo usuário e assegurem que estão tomando as medidas necessárias para garantir que seus sistemas e processos ofereçam “proteção adequada dos cidadãos contra os danos apresentados pelo conteúdo”.

Embora o projeto de lei não defina “adequado”, ele afirma que os serviços regulamentados devem oferecer proteção contra danos “através do uso apropriado pelos provedores de tais serviços de sistemas e processos projetados para reduzir o risco de tais danos”.

No rascunho original do projeto de lei, o governo do Reino Unido exigia que as empresas de internet monitorassem o conteúdo do usuário “legal, mas prejudicial”. No entanto, depois que surgiram preocupações sobre o governo ser o responsável final por definir o que se enquadra nessa categoria, foram feitas alterações no projeto de lei, substituindo a disposição por novas regras para que as empresas sejam mais transparentes sobre as políticas internas de moderação de conteúdo, por exemplo, exigindo serviços para dizer explicitamente por que determinado conteúdo deve ser removido. Eles também devem oferecer o direito de apelar quando as postagens forem excluídas.

Além disso, as empresas não poderão remover ou restringir conteúdo legal, nem suspender ou banir um usuário, a menos que as circunstâncias para isso sejam claramente definidas em seus termos.

Se a legislação se tornasse lei, as empresas de mídia social seriam legalmente obrigadas a remover conteúdo ilegal, remover material que viole seus próprios termos de serviço e fornecer aos adultos mais opções sobre o conteúdo que veem e com o qual se envolvem, mesmo que seja legal. Por exemplo, telas pop-up podem informar aos usuários que um site exibe determinado conteúdo que o site considera prejudicial para determinados usuários.

O conteúdo que se enquadra no escopo da legislação inclui material que incentiva a automutilação ou o suicídio, bem como imagens não consensuais, como a chamada pornografia deepfake, em que um software de edição é usado para criar e distribuir imagens ou vídeos sexualizados falsos de pessoas sem sua permissão.

O material envolvendo automutilação é definido como “conteúdo legal, mas prejudicial” (desde que não incentive ativamente a automutilação) e é classificado como um “dano prioritário” – um tópico sobre o qual as plataformas deveriam ter uma política. Se eles não aplicarem sua política declarada a esse tipo de conteúdo, poderão estar sujeitos a multas da Ofcom.

Em março de 2022, o governo também adicionou um requisito para mecanismos de pesquisa e outras plataformas que hospedam conteúdo gerado por usuários de terceiros para protegê-los de anúncios pagos fraudulentos e impedir que anúncios fraudulentos apareçam em seus sites.

As empresas de tecnologia também seriam obrigadas a publicar mais informações sobre os riscos que suas plataformas representam para as crianças e mostrar como elas reforçam os limites de idade do usuário para impedir que as crianças contornem os métodos de autenticação. Além disso, se o Ofcom tomar medidas contra um serviço, os detalhes dessa medida disciplinar devem ser publicados.

Críticos estão preocupados com backdoors de criptografia

Desde que o projeto de lei foi proposto pela primeira vez, pessoas de todo o espectro político argumentaram repetidamente que as disposições atuais da legislação prejudicariam os benefícios da criptografia em comunicações privadas, reduziriam a segurança da Internet para cidadãos e empresas do Reino Unido e comprometeriam a liberdade de expressão. Isso porque, durante o verão, o governo adicionou uma nova cláusula que exige que as empresas de tecnologia forneçam mensagens criptografadas de ponta a ponta para verificar se há material de abuso sexual infantil (CSAM) para que possa ser denunciado às autoridades. No entanto, a única maneira de garantir que uma mensagem não contenha material ilegal seria as empresas usarem a varredura do lado do cliente e verificarem o conteúdo das mensagens antes de serem criptografadas.

Em uma carta aberta assinada por 70 organizações, especialistas em segurança cibernética e autoridades eleitas depois que o Primeiro-Ministro Rishi Sunak anunciou que estava trazendo o projeto de lei de volta ao Parlamento, os signatários argumentaram que “a criptografia é fundamental para garantir que os usuários da Internet estejam protegidos on-line, para construir a segurança econômica por meio de uma economia pró-negócios do Reino Unido que pode enfrentar a crise do custo de vida e garantir a segurança nacional”.

“As empresas do Reino Unido devem ter menos proteção para seus fluxos de dados do que suas contrapartes nos Estados Unidos ou na União Europeia, deixando-as mais suscetíveis a ataques cibernéticos e roubo de propriedade intelectual”, observou a carta.

Matthew Hodgson, cofundador do Element, um aplicativo de mensagens britânico descentralizado, disse que, embora não seja controverso concordar que as plataformas devem fornecer ferramentas para proteger os usuários de qualquer tipo de conteúdo – seja abusivo ou apenas algo que eles não querem ver – o que é controverso é a ideia de efetivamente exigir backdoors em conteúdo privado, como mensagens criptografadas, apenas no caso de ser um conteúdo ruim.

“No segundo em que você colocar qualquer tipo de backdoor, que pode ser usado para quebrar a criptografia, ele será usado pelos bandidos”, disse ele. “E ao abri-lo como um meio para atores corruptos ou canalhas de qualquer tipo serem capazes de minar a criptografia, você pode muito bem, em primeiro lugar, não ter a criptografia e tudo desmoronar”.

Hodgson disse que parece haver mal-entendidos de algumas pessoas que, por um lado, disseram expressamente que não querem colocar backdoors em mensagens criptografadas, mas, por outro lado, afirmam que as empresas de tecnologia precisam ter a capacidade de verificar as mensagens privadas de todos, caso contenham conteúdo ilegal.

“Essas duas declarações são completamente contraditórias e, infelizmente, os poderosos nem sempre apreciam essa contradição”, disse ele, acrescentando que o Reino Unido pode acabar em uma situação como a Austrália, onde o governo aprovou uma legislação que permite que as agências governamentais exijam que as empresas entreguem informações e dados do usuário, mesmo que estejam protegidos por criptografia.

Hodgson argumenta que o governo do Reino Unido não deveria facilitar a introdução de infraestruturas que corroem a privacidade, mas sim impedir que se torne uma realidade que regimes mais autoritários pudessem adotar, usando o Reino Unido como exemplo moral.

Também há preocupação sobre como algumas das disposições do projeto de lei serão aplicadas. Francesca Reason, Advogada da equipe regulatória e de defesa corporativa do escritório de advocacia Birketts LLP, disse que muitas empresas de tecnologia estão preocupadas com os requisitos mais onerosos que podem ser impostos a elas.

Reason disse que também há questões de praticidade e empatia que precisam ser navegadas. Por exemplo, o governo vai processar um adolescente vulnerável por postar sua própria imagem de autoagressão on-line?

O foco da lei de segurança é nas crianças

Para evitar o que um membro conservador do Parlamento descreveu como “legislar contra sentimentos feridos”, as emendas ao projeto de lei antes de seu retorno ao Parlamento agora colocam o foco na proteção de crianças e adultos vulneráveis. O projeto de lei alterado torna ilegal para crianças ver certos tipos de conteúdo – como pornografia – mas não para adultos, enquanto em versões anteriores do projeto de lei, seria ilegal para qualquer um ver o conteúdo. Agora, os adultos precisam apenas receber um aviso de conteúdo sobre o conteúdo que um provedor de serviços considera potencialmente censurável ou prejudicial em suas diretrizes de conteúdo.

No entanto, como os defensores da privacidade estão preocupados com o ataque do projeto de lei à criptografia, alguns defensores da segurança argumentam que a legislação agora não faz o suficiente para proteger os mais vulneráveis dos danos on-line.

“Há uma facção que acha que os adultos vulneráveis agora estão fora desse escopo de proteção”, disse Reason, observando que o apetite de alguém por conteúdo prejudicial não desaparece repentinamente no momento em que completa 18 anos.

“O outro argumento de muitas pessoas é que os adultos ainda poderão postar e visualizar qualquer coisa legal, mesmo que seja potencialmente prejudicial, desde que não viole os Termos de Serviço da plataforma”, disse ela.

Qual será o impacto do projeto de lei na indústria de tecnologia?

Em sua forma atual, estima-se que o projeto de lei impactará mais de 25.000 empresas de tecnologia e, embora muito foco tenha sido sobre como as chamadas empresas de Big Tech irão cumpri-la, provedores de internet menores que oferecem um espaço onde os usuários podem compartilhar ideias ou que são monetizados por anúncios também serão afetados pelo projeto de lei.

Reason disse que uma das maneiras pelas quais as empresas de tecnologia podem optar por navegar nessa legislação é bloquear completamente as crianças fora de seus sites ou higienizar sua plataforma a um nível que seja apropriado para o usuário mais jovem por padrão.

Além disso, como resultado dessas novas regras, um grande número de sites exigirá que os visitantes comprovem sua identidade, indicando que têm idade suficiente para acessar determinado conteúdo. A verificação de idade on-line é algo que o governo tentou e falhou em decretar no passado e, como resultado, Matthew Peake, Diretor Global de Política Pública na Onfido, plataforma de verificação de identidade (IDV), adverte que, a menos que o governo e a Ofcom trabalhem com o indústria de tecnologia e provedores de IDV para obter uma melhor compreensão do que é realmente possível, o projeto cairá.

“[A Onfido] tem uma visão muito forte de que não há necessidade de negociar entre privacidade e bom IDV, você pode verificar a identidade de alguém de maneira muito robusta, sem corroer ou comprometer sua privacidade”, disse ele. “Queremos que essa mensagem seja compreendida pelo governo e pelos defensores da privacidade, porque todos queremos ter uma experiência on-line segura. Esse é o objetivo final”.

No entanto, enquanto muitos políticos declararam publicamente que as pessoas não deveriam poder criar contas anônimas em plataformas de mídia social, Peake argumenta que o anonimato é vital para permitir que denunciantes, vítimas de violência doméstica e outras pessoas com motivos muito legítimos para manter sua identidade obscurecida com segurança acessem a internet.

O que as organizações veriam estar fazendo?

O Chartered Institute for IT – BCS constatou que apenas 14% dos 1.300 profissionais de TI consideraram o projeto de lei “adequado ao propósito” e 46% acreditaram que “não é viável”. Apesar da pesquisa de 2022 do BCS, a expectativa é que a legislação será aprovada, em grande parte porque o objetivo fundamental do projeto de lei – manter as crianças seguras on-line – é um grande argumento político.

A sócia da Deloitte Legal, Joanna Conway, disse que a equipe de regulamentação da Internet da empresa de consultoria está analisando todos os regulamentos propostos pelos governos e aconselhando as organizações que fazem negócios na Internet que provavelmente serão afetadas por essas novas leis.

“Estamos no ponto em que há um grande número de leis chegando, então estamos passando de um espaço amplamente não regulamentado para algo que está se tornando altamente regulamentado e também de alto risco, especialmente quando você olha para as penalidades que estão associadas a algumas dessas novas medidas”, disse ela.

Conway disse que o conselho que sua equipe tem dado às empresas é primeiro verificar se elas serão realmente afetadas pelo projeto de lei. Embora a legislação se aplique ao conteúdo gerado pelo usuário, ela disse, “há exclusões em relação a isso, então é realmente importante verificar se sua empresa está dentro do escopo”, disse ela. “Se você estiver dentro do escopo, prepare-se para suas avaliações de risco porque você precisará fazer isso. As exceções incluem:

  • E-mail
  • Mensagens SMA
  • Mensagens MMS
  • Comunicações auditivas ao vivo um-para-um
  • Comentários e críticas sobre o conteúdo do provedor
  • Conteúdo do editor de notícias

“Estamos olhando para os reguladores com penalidades significativas à sua disposição, tanto aqui quanto na UE, então você pode acabar no lado errado de ambos se estiver fornecendo para a Europa como uma região geográfica”, disse ela.

Para empresas menores, muitas das quais não terão o mesmo nível de recursos que as plataformas maiores que já empregam moderadores de conteúdo, Conway observa que os novos requisitos de dever de segurança – como as empresas planejam implementar o que o projeto de lei exige delas – são definidos para ser proporcional, “refletindo os diferentes portes, recursos e níveis de risco das empresas abrangidas”.

No entanto, ela aponta que, embora as plataformas maiores geralmente cheguem às manchetes quando as decisões de moderação de conteúdo dão errado, as plataformas menores costumam ser vistas como de alto risco, pois têm menos recursos para remover conteúdo ilegal e prejudicial.

Você pode gostar também

Sabe tudo o que Elon Musk fez no ano? Faça o teste e descubra

tutoriaisweb

Presidentes apelam por eleições transparentes na Venezuela

tutoriaisweb

Presidente da FCC, nos EUA, apresenta plano para regular a internet

tutoriaisweb