5 gravi difetti nella nuova legge brasiliana “Fake News” che minerà i diritti umani [AGGIORNATO]

Aggiornamento: martedì sera (30/06), il Senato brasiliano ha approvato il "PLS 2630/2020" , il cosiddetto disegno di legge "Fake News". Un emendamento finale tagliato sull'articolo 7 "Registrazione dell'account" in modo che l'identificazione obbligatoria non si applichi più a tutti gli utenti e, in linea di principio, sia facoltativa in generale. In base al testo rivisto, le società "possono" richiedere l'identificazione degli utenti in caso di reclami di non conformità alla legge sulle "notizie false", o quando vi è motivo di sospettare che siano bot, si comportino in modo non autentico o assumono l'identità di qualcun altro. Si prevede inoltre che i social network e l'app di messaggistica privata creeranno alcuni mezzi per rilevare le frodi nella creazione di un account (articolo 7, paragrafo 1). Queste nuove disposizioni sembrano corrispondere alle prassi esistenti della maggior parte delle società, ma potrebbero essere estese per includere anche i nuovi obblighi stabiliti nella legge "notizie false".

Un emendamento ha ristretto l'articolo 8 "Registrazione dell'account" in modo che si applichi solo agli account di messaggistica privati ​​"esclusivamente collegati ai numeri di cellulare" (ancora potenzialmente tremendamente confuso nella pratica); ai servizi di messaggistica privata viene ordinato di verificare con gli operatori mobili quali numeri sono stati risolti dal contratto al fine di sospendere i relativi account nell'app. Questa disposizione ora esclude i social network.

Un emendamento rimosso "nell'ambito del suo servizio" dall'articolo 9 che afferma che i servizi di messaggistica privata devono limitare la dimensione dei gruppi e degli elenchi privati. Quest'ultima modifica può potenzialmente compromettere l'innovazione dei prodotti futuri basati su sistemi di messaggistica peer-to-peer che, in base alla progettazione, non possono controllare le dimensioni di un gruppo.

Un altro emendamento ha ridotto l'articolo 10 "la disposizione di rintracciabilità", costringendo solo le applicazioni di messaggistica private a conservare la catena di tutte le comunicazioni che sono state "massicciamente trasmesse" ai fini di potenziali indagini penali o azioni penali. Le versioni precedenti del conto, come spiegato nel nostro post di seguito, includevano anche i social network. La viralità di un messaggio e le soglie non modificano la privacy e i diritti di processo dovuti del mittente originale. L'inoltro di un messaggio popolare non significa che dovresti essere automaticamente sospettato. La disposizione sulla tracciabilità è un "mandato tecnologico" che obbliga le app di messaggistica private a modificare la propria piattaforma di progettazione basata sulla privacy per indebolire la sicurezza e le protezioni della privacy.

Tutte le altre parti delle disposizioni discusse in questo post sono rimaste intatte.

—
L'articolo originale è stato pubblicato lunedì mattina, 29 giugno 2020.

Questa settimana il Senato brasiliano voterà sulla versione più recente di " PLS 2630/2020 ", il cosiddetto disegno di legge "Fake News". Questa nuova versione, presumibilmente mirata alla sicurezza e alla riduzione delle "azioni dannose coordinate" da parte degli utenti dei social network e delle app di messaggistica privata, consentirà al governo di identificare e tracciare innumerevoli utenti innocenti che non hanno commesso alcun illecito al fine di catturarne alcuni attori malvagi.

Il disegno di legge crea un regime normativo goffo per intervenire nelle decisioni tecnologiche e politiche dei servizi di messaggistica pubblici e privati ​​in Brasile, richiedendo loro di istituire nuove procedure di rimozione, applicare vari tipi di identificazione di tutti i loro utenti e aumentare notevolmente la quantità di informazioni che raccolgono e archiviano da e verso i loro utenti. Devono inoltre garantire che tutte queste informazioni possano essere accessibili direttamente al personale brasiliano, in modo che siano direttamente e immediatamente disponibili per il loro governo, aggirando le forti garanzie per i diritti degli utenti dei meccanismi internazionali esistenti come i trattati di assistenza giudiziaria reciproca.

Questa fattura tentacolare si sta muovendo rapidamente e arriva in un momento molto brutto. Al momento, le tecnologie di comunicazione sicure sono più importanti che mai per far fronte alla pandemia di COVID-19, per collaborare e lavorare in sicurezza, per protestare o organizzare online. È anche molto importante che le persone possano avere conversazioni private, comprese conversazioni politiche private. Ci sono molte cose sbagliate in questo disegno di legge, molto più di quanto potremmo inserire in un articolo. Per ora, faremo un profondo tuffo in cinque gravi difetti nel disegno di legge esistente che minerebbero la privacy, l'espressione e la sicurezza.

Difetto 1: forzare le società di social media e di messaggistica privata a raccogliere l'identificazione legale di tutti gli utenti

La nuova bozza dell'articolo 7 è allo stesso tempo goffa e contraddittoria. In primo luogo, il disegno di legge (articolo 7, paragrafo 3) richiede "grandi" social network e app di messaggistica private (che offrono servizi in Brasile a oltre due milioni di utenti) per identificare l'utente di ogni account richiedendo le proprie carte di identità nazionali. È un requisito retroattivo e generale, il che significa che l'identificazione deve essere richiesta per ogni utente esistente. La disposizione principale dell'articolo 7 non si limita all'identificazione di un utente da parte di un'ingiunzione del tribunale, anche quando vi è un reclamo sull'attività di un account o quando la società si trova incerta sull'identità di un utente. Sebbene gli utenti siano esplicitamente autorizzati a utilizzare pseudonimi, non possono mantenere riservate le loro identità legali al fornitore del servizio. Le società convincenti a identificare un utente online dovrebbero essere fatte solo in risposta a una richiesta di un'autorità competente, non a priori . In India, una proposta simile dovrebbe essere rilasciata dal Ministero IT del paese, sebbene i rapporti indichino che la verifica dell'ID sarebbe facoltativa.

Nel 2003, il Brasile ha reso obbligatoria la registrazione della carta SIM per i telefoni prepagati, richiedendo agli abbonati prepagati di presentare una prova di identità, come la carta di identità nazionale ufficiale, la patente di guida o il numero del contribuente. L'articolo 39 del nuovo progetto espande tale legge creando nuovi requisiti di identificazione obbligatori per l'ottenimento di carte SIM telefoniche e l'articolo 8 richiede esplicitamente che le applicazioni di messaggi privati ​​che identificano i loro utenti tramite un numero di telefono associato per eliminare gli account ogni volta che il numero di telefono sottostante viene cancellato. Gli operatori telefonici sono tenuti ad aiutare in questo processo fornendo un elenco di numeri che non sono più utilizzati dall'abbonato originale. La registrazione della carta SIM mina la capacità delle persone di comunicare, organizzare e associarsi in forma anonima. David Kaye, relatore speciale delle Nazioni Unite per la libertà di espressione e di opinione, ha chiesto agli Stati di astenersi dal rendere l'identificazione degli utenti una condizione per l'accesso alle comunicazioni digitali e ai servizi online e richiedere la registrazione della carta SIM per gli utenti mobili;

Anche se la bozza del testo elimina l'articolo 7, la bozza rimane pericolosa per la libera espressione poiché le autorità saranno comunque autorizzate a identificare gli utenti dei servizi di messaggistica privata collegando un numero di cellulare a un account. Le autorità brasiliane dovranno smascherare l'identità dell'utente Internet seguendo le procedure interne per l'accesso a tali dati dal fornitore di telecomunicazioni.

Gli utenti di Internet saranno obbligati a consegnare le informazioni di identificazione alle grandi società tecnologiche se l'articolo 7 è approvato come attualmente scritto, con o senza il paragrafo 3. La disposizione di identificazione obbligatoria costituisce una palese violazione dei diritti processuali individuali delle persone. Paesi come la Cina e la Corea del Sud hanno incaricato gli utenti di registrare i loro nomi reali e numeri di identificazione con i fornitori di servizi online. La Corea del Sud era solita richiedere ai siti Web con più di 100.000 visitatori al giorno di autenticare le proprie identità inserendo i loro numeri ID residenti quando utilizzano portali o altri siti. Ma la Corte Suprema della Corea del Sud ha revocato la legge come incostituzionale, affermando che "il sistema di [identificazione obbligatoria] non sembra essere stato di beneficio al pubblico. Nonostante l'applicazione del sistema, il numero di messaggi illegali o dannosi online non è diminuito. ”

Difetto 2: forzare le società di social media e di messaggistica privata a tracciare e conservare immensi registri delle comunicazioni degli utenti

L'articolo 10 obbliga i social network e le applicazioni di messaggistica private a conservare la catena di tutte le comunicazioni che sono state "massicciamente inoltrate", ai fini di potenziali indagini penali o azioni penali. La nuova bozza richiede tre mesi di archiviazione dei dati dell'intera catena di comunicazione per tali messaggi, compresa la data e l'ora di inoltro e il numero totale di utenti che ricevono il messaggio. Questi obblighi sono condizionati dalle soglie di viralità e si applicano quando un'istanza di un messaggio è stata inoltrata a gruppi o elenchi da più di 5 utenti entro 15 giorni, quando il contenuto di un messaggio ha raggiunto 1.000 o più utenti. Il fornitore di servizi è inoltre a quanto pare dovrebbe trattenere temporaneamente questi dati per tutti i messaggi inoltrati durante il periodo di 15 giorni al fine di determinare se la soglia di viralità per “massicciamente inoltrato” saranno soddisfatte. Questa disposizione viola palesemente i diritti di giusto processo costringendo i fornitori a conservare la comunicazione di tutti prima che qualcuno abbia commesso un reato legalmente definito.

Ci sono stati anche cambiamenti significativi nel modo in cui questo testo interagisce con la crittografia e con gli sforzi dei fornitori di comunicazioni per sapere di meno su ciò che i loro utenti stanno facendo. Questi requisiti di conservazione obbligatori possono creare un incentivo per indebolire la crittografia end-to-end, poiché i servizi crittografati end-to-end potrebbero non essere in grado di rispettare le disposizioni che richiedono loro di riconoscere quando un determinato messaggio è stato inoltrato in modo indipendente un determinato numero di volte senza compromettere la sicurezza della loro crittografia.

Sebbene l'attuale bozza (a differenza delle versioni precedenti) non crei nuovi crimini, richiede ai fornitori di rintracciare i messaggi prima che sia stato commesso un crimine in modo che le informazioni possano essere utilizzate in futuro nel contesto di un'indagine penale o di un procedimento giudiziario per reati specifici definiti in articoli da 138 a 140 o articolo 147 del codice penale del Brasile , come diffamazione, minacce e calúnia . Ciò significa, ad esempio, che se condividi un messaggio che denuncia la corruzione di un'autorità locale e viene inoltrato più di 1.000 volte, le autorità potrebbero accusarti criminalmente di calúnia nei confronti dell'autorità locale.

Le aziende devono limitare la conservazione dei dati personali a ciò che è ragionevolmente necessario, proporzionato a determinati scopi aziendali legittimi. Questa è la " minimizzazione dei dati " , ovvero il principio secondo cui qualsiasi azienda dovrebbe ridurre al minimo il trattamento dei dati dei consumatori. La minimizzazione è uno strumento importante nella casella degli strumenti di protezione dei dati. Questo disegno di legge è contrario, favorendo pratiche di raccolta di big data pericolose.

Difetto 3: vietare alle società di messaggistica di autorizzare gruppi di trasmissione, anche se gli utenti si iscrivono

Gli articoli 9 e 11 richiedono che le dimensioni dei gruppi di trasmissione e discussione negli strumenti di messaggistica privata abbiano un limite massimo di appartenenza (cosa che WhatsApp fa oggi, ma che non tutti gli strumenti di comunicazione necessariamente fanno o faranno) e che la capacità di raggiungere il pubblico di massa tramite privato le piattaforme di messaggistica devono essere rigorosamente limitate e controllate, anche quando il pubblico lo accetta. La visione del disegno di legge sembra essere che la discussione di massa e la trasmissione di massa siano intrinsecamente pericolose e debbano avvenire solo in pubblico e che nessuno dovrebbe creare forum o media per queste interazioni avvengono in un modo veramente privato, anche con il consenso chiaro ed esplicito da parte dei partecipanti o dei destinatari.

Supponiamo che un'organizzazione come una ONG, un sindacato o un partito politico volesse avere un forum di discussione tra tutti i suoi membri o inviare la sua newsletter a tutti i suoi membri che hanno scelto di riceverlo. Non sarebbe permesso farlo attraverso uno strumento simile a WhatsApp – almeno una volta raggiunto un limite di dimensioni del pubblico (non specificato). Ai sensi degli articoli 9 e 11, l'organizzazione dovrebbe utilizzare un'altra piattaforma (non uno strumento di messaggistica privato), quindi il contenuto sarebbe visibile e soggetto al controllo del proprio operatore.

Difetto 4: forzare le società di social media e di messaggistica a rendere disponibili in remoto i registri degli utenti privati

L'articolo 37 obbliga i grandi social network e le app di messaggistica privata a nominare rappresentanti legali in Brasile. Obbliga inoltre tali società a fornire accesso remoto ai database degli utenti e ai registri del proprio personale in Brasile, in modo che i dipendenti locali possano essere direttamente costretti a consegnarli.

Ciò mina la sicurezza e la privacy dell'utente. Aumenta il numero di dipendenti (e dispositivi) che possono accedere a dati sensibili e riduce la capacità dell'azienda di controllare le vulnerabilità e l'accesso non autorizzato, anche perché questo è di dimensioni globali e, se adottato in Brasile, potrebbe essere replicato da altri paesi . Ogni nuova persona e ogni nuovo dispositivo aggiunge un nuovo rischio per la sicurezza.

Difetto 5: nessuna limitazione sull'applicazione di questa legge agli utenti al di fuori del Brasile

I paragrafi 1 e 2 dell'articolo 1 prevedono alcune esclusioni giurisdizionali, ma tutte queste sono applicate a livello aziendale , ovvero una società straniera potrebbe essere esentata se è di piccole dimensioni (meno di 2.000.000 di utenti) o non offre servizi al Brasile. Nessuna di queste limitazioni, tuttavia, riguarda la nazionalità o la posizione degli utenti . Pertanto, il disegno di legge, secondo i suoi termini, richiede che un'azienda crei determinate politiche e procedure relative alla rimozione dei contenuti, all'identificazione obbligatoria degli utenti e ad altri argomenti, che non sono in alcun modo limitati alle persone con sede in Brasile. Anche se l'intento è solo quello di forzare la raccolta di documenti di identità da parte di utenti residenti in Brasile, la proposta di legge non lo dice.

Affrontare le "notizie false" senza compromettere i diritti umani

Ci sono molte nuove risposte innovative in via di sviluppo per aiutare a ridurre gli abusi delle app di messaggistica e social media, sia attraverso le risposte alle politiche che le soluzioni tecniche. WhatsApp, ad esempio, limita già il numero di destinatari di un singolo messaggio inoltrato alla volta e mostra agli utenti che i messaggi sono stati inoltrati, i messaggi virali sono etichettati con doppie frecce per indicare che non hanno avuto origine da un contatto ravvicinato. Tuttavia, la chiusura di cattivi attori non può andare a scapito di mettere a tacere milioni di altri utenti, invadere la loro privacy o minare la loro sicurezza. Per garantire il rispetto dei diritti umani, il legislatore brasiliano deve respingere l'attuale versione di questo disegno di legge. Andando avanti, i diritti umani come la privacy, l'espressione, la sicurezza devono essere inseriti nella legge fin dall'inizio.