Hacking, leis de privacidade: hora de redefinir

O que é mais importante: proteger a liberdade de civis ou processar pessoas que se comportam mal?

Infelizmente, dois casos recentes destacaram sérias deficiências na forma como promotores públicos perseguem ambos, sugerindo que a única solução viável seja que o Congresso Americano reformule as atuais a leis de privacidade e abuso virtual.

Para começar, o Computer Fraud and Abuse Act (CFAA) [Ato contra abuso e fraude virtual] dá aos promotores públicos uma ampla liberdade na perseguição de “crimes virtuais”, em que podem ameaçar transgressões leves com penas excessivas, criando a possibilidade de que algumas pessoas são coagidas a se considerarem culpadas. É por isso que, de acordo com os direitos civis, inúmeros grupos de direitos digitais e advogados particulares estão pedindo que o Congresso controle o CFAA, incluindo a criminalização do conceito nebuloso de “acesso não autorizado”.

Graças ao CFAA, os promotores públicos estão batendo o martelo em casos que não exigem tanto. Por exemplo, o ativista virtual Aaron Swartz, que, supostamente, usou a rede do MIT para baixar milhares de artigos acadêmicos do banco de dados acadêmico do JSTOR, foi acusado de cometer 13 diferentes crimes, podendo ser condenado a até 35 anos de prisão. Os promotores acusaram Swartz apesar de oficiais do JSTOR alegarem que, em 2011, todas as acusações civis contra ele haviam sido retiradas depois de ele se desculpar e prometer devolver todas as cópias de dados baixados. O caso deveria ter sido encerrado – e oficiais do JSTOR pediram que os promotores arquivassem o caso, eles se recusaram.

Os esforços de Swartz não eram em busca de ganhos financeiros ilegais. Ele não estava revendendo trabalhos acadêmicos ou roubando identidade de usuários e autores. Ele estava apenas fazendo campanha em favor do livre acesso às informações financiadas pelos impostos pagos pelos cidadãos. De qualquer forma, ele foi acusado de diversos delitos – incluindo fraude de computação, “danos imprudentes” a um computador e acesso não autorizado – por dizer que queria publicar as informações gratuitamente. Embora nunca o tenha feito.

O caso de Swartz mostra que o CFAA é muito amplo e que não se pode confiar – ou, talvez, esperar – que os promotores não usem as ferramentas de acusação disponíveis para conseguir uma condenação ou uma negociação. Críticas à Carmen Ortiz, a promotora federal responsável pelo caso de Swartz, acusaram-na de bullying devido à ameaça de anos de prisão que Swartz enfrentava. Porém, é mais prático olhar para o caso dele como um exemplo do que vem acontecendo: é o que os promotores farão com o CFAA, se tiverem a chance. Por isso, o Congresso deve tomar as rédeas da situação.

Outro bom exemplo de um tipo de abuso de poder permitido – desta vez, em questão de privacidade – é o caso de David Petraeus, que no ano passado renunciou como diretor da CIA, depois de um agente do FBI denunciar que ele estava tendo um caso.

Investigadores de crimes virtuais do bureau consideraram o caso encerrado, mas o agente do FBI, Frederick W. Humphries II, que deu início às investigações em nome de um conhecido, temeu que estivessem escondendo um incidente de segurança nacional. Ele denunciou o caso extraconjugal de Petraeus ao representante Dave Reichert (R-Wash), que contou ao líder majoritário da Câmara dos Representantes dos EUA, Eric Cantor (R-Va), que informou ao diretor do FBI, Robert S. Mueller III.

Ao primeiro sinal de escândalo, Petraeus renuncia. Ainda assim, nenhuma acusação foi oficializada no caso contra Petraeus. Da mesma forma, nenhuma acusação foi feita a sua amante, e biógrafa, Paula Blackwell, que foi acusada, na mídia, de lidar, de forma inapropriada, com informações sigilosas e de perseguir a socialite Jill Kelley, que ela via como rival pela atenção de Petraeus. E, por fim, nenhuma acusação foi oficializada contra o agente do FBI por que, aparentemente, ele não infringiu leis de privacidade.

Para ser claro, os erros relacionados à privacidade, neste caso, envolvem um agente do FBI, que não era parte da equipe de investigação de cibercrimes e que, obviamente, não entende que casos extraconjugais não são uma ameaça à segurança nacional. Na verdade, como que os regulamentos da CIA exigem que os funcionários revelem qualquer tipo de relação que tenham para a agência – a fim de mitigar ameaças de chantagens – é provável que oficiais relevantes da agência tivessem total ciência do que Petraeus estava fazendo.

Mas a divulgação do caso pelo agente do FBI pegou a mídia de surpresa e deu início a uma investigação paralela que descobriu, então, provas de que Kelley também se relacionava com um comandante dos EUA no Afeganistão, General John Allen, com que quem, supostamente, ela trocou diversos e-mails. Porém, Kelley e Allen negaram qualquer acusação. Para encerrar o assunto, investigadores do Exército isentaram Allen de qualquer comportamento inapropriado.

Acrescentando insultos às questões de privacidade da família Kelley, eles contataram o agente do FBI, Humphries, antes. “Simplesmente pedimos ajuda depois de receber e-mails anônimos com ameaças de chantagem e extorsão”, escreveram Jill Kelley e o marido, Scott, em um recente artigo no Washington Post. “Quando o assédio cresceu para atos de cyberstalking, no início do outono, ficamos, naturalmente, aterrorizados pela nossa própria segurança e de nossas filhas. Consequentemente, fizemos o que todos os americanos são ensinados a fazer em situações perigosas: pedimos ajuda às autoridades”.

Não surpreende que os Kelleys estejam tentando fazer com o Congresso seja mais rígido sobre o que as agências de segurança e oficiais do governo podem fazer com informações privadas dos cidadãos – começando pela expansão do Ato de Privacidade em Comunicações Eletrônicas (ECPA) para assegurar o acesso e a divulgação de e-mails pessoais. “Nossa história mostra como o simples ato de procurar as autoridades legais para conselhos sobre como lidar com o assédio de e-mails anônimos pode resultar em uma vítima sendo re-vitimizada”, escreveu Kelley.

Quem re-vitimizou os Kelleys? Curiosamente, eles acusaram oficiais do governo de vazarem nomes e a existência de correspondência privada, junto com a falha ao proteger suas identidades mesmo quando denunciaram um possível crime de cyberstalking.

Deixando de lado os e-mails ameaçando Kelley, o crime real não estaria no fato de que as autoridades violaram leis de privacidade ou de gerenciamento de dados, enquanto deixavam pra trás uma trilha de alegações e insinuações?