Agora que se aproximam as eleições europeias, queremos falar daquela que é uma das iniciativas legislativas mais podres de que temos memória, na União Europeia. A nossa posição sobre a substância da proposta é conhecida: compromete a encriptação segura das telecomunicações, motivo pelo qual é considerada a legislação europeia mais criticada de sempre. Diversas associações em Portugal têm chamado a atenção para os perigos da proposta. Mas aqui focamo-nos somente nos meandros do processo legislativo na EU. Nota: A história é longa e requer algum estômago.

Proposta ChatControl

Em 2022, a Comissão Europeia apresentou uma proposta de regulamento europeu que visa estabelecer regras para prevenir e combater o abuso sexual de crianças, frequentemente designado pela sigla inglesa CSAR, e mais conhecido por ChatControl. Do ponto de vista tecnológico, esta proposta é inviável e altamente problemática. Nela constam medidas que obrigariam as plataformas, incluindo as que usam encriptação nos seus serviços, como o Whatsapp, Messenger, Telegram, ou redes sociais, a instalar software nos dispositivos de todos os cidadãos com o objectivo de monitorizar todas as comunicações realizadas. Todas as imagens seriam verificadas contra uma base de dados secreta, e o conteúdo de todas as mensagens instantâneas seria varrido e analisado, em busca de padrões suspeitos. Para tal ser possível, a criptografia extremo-a-extremo dessas comunicações teria de ser ultrapassada ou subvertida. O processo seria monitorizado por uma entidade europeia central, que decidiria como e com que critérios as pesquisas seriam realizadas.

O que tem passado ao lado de muita gente é o nível de podridão que esteve na origem desta proposta, e que continua a afectar o processo legislativo. Este artigo faz um sumário dos factos revelados por investigações jornalísticas ao longo dos últimos meses.

Jornalismo de investigação em acção

Em Setembro de 2023, um grupo de jornalistas de vários órgãos de comunicação social europeus, incluindo o Le Monde e o El Diário, publicaram uma série de peças de uma grande investigação relativa a potenciais conflitos de interesses da Comissária Johansson e alguns funcionários da Direção-Geral da Migração e dos Assuntos Internos da Comissão Europeia (DG Home): EN, FR/EN, ES, DE, GK, NL, IT.

[Nota: Todos os factos referenciados neste artigo sem ligação directa para fonte diversa têm por base esta investigação jornalística].

A investigação revelou, nas palavras do Presidente da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu, López Aguilar, alegações de “relações de trabalho estreitas entre a Comissão Europeia e uma vasta rede de empresas tecnológicas, fundações, agências de segurança e agências de relações-públicas, incluindo a Thorn e a WeProtect Global Alliance, o que indica uma possível influência indevida na elaboração da proposta”.

O Presidente desta Comissão do Parlamento Europeu refere ainda uma especial preocupação sobre as alegações de que “as soluções previstas na proposta legislativa para combater a conteúdos de abuso sexual de menores supostamente reproduzem as soluções concebidas por esses grupos, contribuindo assim para promover os seus interesses económicos”.

Interesses camuflados

A Thorn desenvolve ferramentas de inteligência artificial para detectar conteúdo de abuso sexual de menores online. Apesar de ser uma entidade sem fins lucrativos, comporta-se como uma empresa, e tem feito de tudo para fazer avançar uma proposta legislativa em que tem amplos interesses comerciais. Desde o início que a Thorn gozou de acesso contínuo e ilimitado a todos os centros de decisão, em Bruxelas, concedido pela Comissão Europeia. Conseguiu assim um papel principal no desenho da proposta apresentada pela Comissão Europeia.

A proposta da Comissão Europeia prevê um Centro Europeu que terá o papel primordial de aconselhar Estados-membros na implementação da legislação; aprovar quais as tecnologias de controlo admissíveis; e adquirir licenças dessas tecnologias, de forma a disponibilizar esses serviços a todas as empresas mais pequenas.

Sim, o ChatControl é extremamente benéfico. Mas quem beneficia não são as crianças…

Thorn: uma organização sem fins lucrativos que factura milhões

Para uma entidade sem fins lucrativos, a Thorn faz muito dinheiro a vender licenças de software. Por exemplo, em 2018, num único negócio, vendeu 4,3 milhões de dólares em licenças de software para o Departamento de Segurança Interna do Governo dos EUA.

A Thorn foi fundada e até recentemente liderada pelo actor Ashton Kutcher, que foi também sempre a cara mais visível da campanha a favor do ChatControl.

Investigações posteriores vieram revelar que a Thorn faz milhões de dólares em vendas de software; paga anualmente a vários empregados salários na ordem das centenas de milhares; e recebeu acções na empresa de investimentos A-grade, de que Ashton Kutcher é co-proprietário, no valor de quase um milhão de dólares.

Ashton Kutcher demitiu-se em Setembro passado, após ter vindo a público que escrevera uma carta ao juiz, antes da condenação, em defesa de um homem que acabaria condenado naquele processo a uma pena de 30 anos de prisão, por violação de duas mulheres. Mas até essa altura, o actor usou a sua figura pública para obter amplo acesso aos bastidores de mais alto nível em Bruxelas, sempre a promover as soluções tecnológicas da Thorn.

Por exemplo, em Novembro de 2022, o actor Ashton Kutcher e a Comissária Johansson foram os oradores de destaque numa conferência do Parlamento Europeu, organizada pela Vice-Presidente do Parlamento Europeu Eva Kaili (que seria presa três semanas depois, na sequência do escândalo de corrupção Qatargate). Esta conferência no Parlamento Europeu foi uma das actividades financiadas em quase um milhão de euros de fundos públicos, atribuídos pelo gabinete de Yohansson à WeProtect Global Alliance.

‘WeProtect Global Alliance’

A WeProtect tem origem em duas organizações governamentais que se uniram em 2016, uma co-fundada pela Comissão Europeia e pelo governo dos EUA, outra pelo Reino Unido. Em Abril de 2020, transformou-se numa fundação privada, registada numa morada de habitação, no Reino Unido. Entre os seus membros estão agências de segurança, vários governos, gestores de Big Tech, associações sem fins lucrativos, e o executivo sénior do gabinete de Johansson, responsável pela pasta do ChatControl. Tem servido de ponto de referência para centralizar e coordenar iniciativas regulatórias como o ChatControl. Entre 2020 e 2023, o gabinete de Johansson financiou esta fundação em quase um milhão de euros.

Boa parte do financiamento vem também da Oak Foundation, que financia também muitas das organizações que constituem a European Child Sexual Abuse Legislation Advocacy Group (ECLAG), a plataforma que serve de coordenação à campanha a favor do ChatControl. Os pagamentos da Oak Foundation a algumas instituições andam na ordem dos vários milhões de euros, incluindo donativos para trabalho de lobbying em Bruxelas dedicado, entre outras coisas, “ao impacto da encriptação”.

Os documentos revelam que a estratégia destes movimentos é utilizar as vozes dos sobreviventes de abusos sexuais para apoiar a proposta da Comissária Johansson. Estes fundos permitem realizar campanhas locais e levar esses sobreviventes a Bruxelas, onde têm realizado manifestações a favor da proposta, além de reunirem e tirarem fotos com políticos.

Ao mesmo tempo que tinha tempo para visitar Silicon Valley e as Big Tech dos EUA para promover as suas soluções tecnológicas e a proposta legislativa da Comissão, a Comissária Johansson recusava encontrar-se com organizações europeias de defesa das crianças que eram críticas da proposta. Incluindo a mais antiga linha de apoio a vítimas de abuso sexual na Europa, Offlimits (anteriormente conhecida por Online Child Abuse Expertise Agency, ou EOKM).

Documentos revelam falhas na tecnologia da THORN

Em Janeiro de 2024, a plataforma de investigação jornalística Follow the Money (FTM) publicou um artigo com base em documentos que obteve mediante um pedido de acesso à informação dirigido ao Governo Sueco, que também foi alvo de lobbying pela Thorn. A Comissão Europeia sempre insistiu que as tecnologias eram extremamente eficazes e que falsos positivos não chegariam às autoridades, mas os documentos da própria Thorn mostram que a tecnologia irá identificar conteúdos de forma errada. Numa apresentação no Parlamento Europeu, o fundador da Thorn disse terem uma tecnologia que permitiria detectar conteúdos abusivos sem ser necessário sequer olhar para a imagem. Mas num dos documento obtidos pela FTM, com o título “Encriptação”, e enviado antes da apresentação, a empresa diz não haver equipamentos com a capacidade de processamento exigida para tal opção.

A Comissão Europeia recusou ainda enviar documentos que também lhe foram pedidos, incluindo um documento intitulado “Mitigação de Falsos Positivos”, pelo que FTM fez uma queixa ao Provedor de Justiça Europeu, à qual a CE ainda terá de responder.

Comissária convocada ao Parlamento

Face a todas estas revelações, em finais de Setembro de 2023, o Presidente da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu convocou a Comissária Johansson ao Parlamento Europeu.

Curiosamente, ou talvez não, foi a empresa Thorn quem primeiro respondeu à convocatória dirigida à Comissária, seguindo-se então a resposta da Comissária Johansson. Posteriormente, a Comissária foi então ao Parlamento Europeu para prestar esclarecimentos. Contudo, os seus esclarecimentos esclareceram muito pouco.

As respostas foram vagas e opacas, com declarações no sentido de que todos os passos dados pela Comissão foram “normais”. Isto perante a estupefacção dos Eurodeputados daquela Comissão, que não deixaram de apontar o facto de ser profundamente perturbador a Comissão realmente considerar tais práticas normais. A Comissária afirmou também ter reunido com organizações de direitos digitais, o que não é verdade, já que todos os pedidos de reunião enviados pela EDRi - European Digital Rights foram sempre ignorados.

Europol quer acesso completo e expandir ChatControl para outros crimes

A 29 de Setembro, a investigação revelou factos adicionais: A Europol procurou ter acesso ilimitado aos dados obtidos através do novo sistema, a ser criado, de controlo de mensagens. (EN, DE). A organização comunicou também o seu desejo de poder usar esta tecnologia para o combate a outros tipos de crime.

Há escassos dias, em Portugal, o DN fazia capa com uma notícia no mesmo sentido: «Europol declara guerra às mensagens encriptadas que travam investigações. PJ juntou-se ao alerta.»

As portas giratórias da Europol

A Europol tem um papel crucial nesta campanha, já que a Thorn contratou várias pessoas-chave da instituição para trabalharem na implementação do ChatControl. Cathal Delaney, antigo quadro da Europol que dirigiu a equipa de abuso sexual de crianças do Centro de Cibercrime da Europol, e que trabalhou num projeto-piloto de Inteligência Artificial para detectar conteúdos de abuso sexual de crianças, começou a trabalhar para a Thorn. Fernando Ruiz Perez, outro ex-quadro sénior da Europol, também integra a direcção da Thorn (que é igualmente integrada pelo antigo Comissário Europeu para as Telecomunicações, Neelie Kroes).

Comissão Europeia faz campanha ilegal contra governos dos Estados-membros, incluindo Portugal

Manipulação da opinião pública contra os governos discordantes

A 15 de Setembro de 2023, um dia após a votação da proposta no Conselho ter sofrido um adiamento provocado pelo facto de sete países terem formado uma minoria de bloqueio contra a proposta, a Comissão Europeia entrou em acção com uma campanha paga nas redes sociais direccionada directamente aos cidadãos desses países, e apenas os desses países. A campanha, emocionalmente manipuladora, pretendia virar o público contra os Governos - incluindo Portugal - que ousaram defender no Conselho posições contra a proposta da Comissão, de forma a tentar colocar os governos desses países sob pressão pública dos seus próprios cidadãos. Uma flagrante interferência na esfera política dos Estados-membros.

Publicidade direccionada com base em dados pessoais sensíveis, incluindo dados políticos e religiosos

Não fosse isto suficientemente mau e insólito, um perito descobriu que a Comissão Europeia discriminava a sua audiência através de publicidade direccionada (“microtargeting”), excluindo públicos com base nos seus interesses políticos ou fé religiosa. Por exemplo, activistas de privacidade, seleccionados por terem interesse em “Julian Assange”, foram excluídos. O mesmo aconteceu a eurocéticos, seleccionados por várias palavras-chave que lhes estão associadas. Por razões difíceis de entender, foram também excluídas pessoas interessadas em “Cristianismo”. A utilização de dados sensíveis, como interesses políticos e fé religiosa, para estes fins é uma violação do Regulamento Geral de Protecção de Dados e do Digital Services Act. Diplomas europeus cuja efectiva aplicação prática em muito depende do papel-chave reservado à Comissão Europeia, enquanto órgão executivo da UE, que os viola. Em resposta, a Comissária Johasson reiterou que todas estas práticas são normais.

Na sequência destas revelações, a NOYB - associação austríaca conhecida pelos casos Schrems - apresentou uma queixa ao Supervisor Europeu de Protecção de Dados contra a Direção-Geral da Migração e dos Assuntos Internos da Comissão Europeia. Além disso, apresentou também uma queixa contra o próprio Twitter, por ter permitido tais ilegalidades à Comissão Europeia.

O perito que descobriu estes factos foi alvo de “shadow ban” no Twitter, logo no próprio dia em que divulgou a notícia.

Provedor de Justiça Europeu condena Comissão Europeia por duas vezes

Consultores técnicos não identificados

A proposta de detecção de conteúdos sem violar a privacidade ou encriptação das comunicações é um absurdo técnico, daí esta ser a proposta europeia mais criticada de sempre. Por esse motivo, o Conselho Irlandês para as Liberdades Cívicas quis saber a identidade dos consultores técnicos que colaboraram com a Comissão Europeia no que respeita à avaliação de impacto da proposta. Contudo, a Comissão Europeia recusou divulgar essa informação. Apresentada queixa ao Provedor de Justiça da União Europeia, veio este, em Outubro de 2023, censurar a atitude da Comissão Europeia, dando razão à organização irlandesa e considerando ter havido um caso de má administração.

Documentos escondidos do público

A 8 de Janeiro de 2024, o Provedor de Justiça Europeu deu razão a outra queixa, apresentada na sequência de a Comissão Europeia também ter recusado conceder acesso público a documentos relativos às reuniões com a Thorn. O Provedor considerou não haver razão para manter os documentos secretos, e que tal conduta da Comissão Europeia constitui má administração. Recomendou ainda que fosse concedido o acesso público aos documentos.

No mesmo dia, foi anunciado um inquérito sobre o potencial conflito de interesses dos dois antigos funcionários da Europol que se juntaram à Thorn.

Conclusão

Está em curso, na União Europeia, uma proposta legislativa que subverte a criptografia segura das telecomunicações e a privacidade dos cidadãos europeus. Esta proposta não resulta de ignorância: resulta de uma campanha muito bem planeada e orquestrada, com amplos recursos financeiros, por uma rede de empresas tecnológicas, fundações, associações, agências de segurança e agências de relações-públicas, que utiliza a defesa do bem-estar digital das crianças como fachada para tentar acabar com a utilização de criptografia segura na Internet.

A D3 não deixará de apontar o dedo a todos os envolvidos.