Relatório Ética & Direito - Problemas Ético-Morais
PROBLEMAS ÉTICO-MORAIS
Sociedade, tecnologia e dimensões éticas da cibersegurança
Vivemos numa sociedade cada vez mais dependente das tecnologias digitais. O uso crescente de tecnologias de informação e comunicação (TIC) em praticamente todas as esferas da vida contemporânea, se traz inequívocos benefícios à generalidade da população, comporta igualmente inúmeros riscos e vulnerabilidades de que muitos indivíduos não têm consciência. Outros, tendo consciência desses riscos, desvalorizam-nos face ao grau de sedução exercido pelo marketing associado a determinados produtos e serviços. Não é possível garantir a absoluta segurança das redes e sistemas digitais, pelo que estes podem converter-se num espaço propício a ameaças e violações de valores e interesses fundamentais para a vida em democracia, como a privacidade, a propriedade, a liberdade e a própria vida. Aquela dependência, aliada a este potencial de insegurança, determina a atual expansão de estratégias e mecanismos de cibersegurança, com os quais se visa “aprofundar a segurança das redes e dos sistemas de informação e potenciar uma utilização livre, segura e eficiente do ciberespaço, por parte de todos os cidadãos e das entidades públicas e privadas” (Estratégia Nacional de Segurança do Ciberespaço).
O domínio da cibersegurança mostra-se, atualmente, um espaço fundamental para preservar a confiança dos cidadãos nas infraestruturas digitais, nas instituições e na própria autoridade estatal. Um espaço que é essencial para garantir valores fundamentais, como os da segurança e integridade das redes digitais, protegendo a sua utilização por parte de entidades públicas e privadas, e assim protegendo essas mesmas entidades nos seus direitos e interesses fundamentais. Ainda assim, os mecanismos e práticas que mobiliza podem igualmente mostrar-se perigosamente intrusivos, coartando os mesmos direitos e liberdades que visa proteger. Nessa medida, os últimos anos têm vindo a acentuar a natureza intrinsecamente ética da própria cibersegurança, reconhecendo a necessidade de a mesma, e daqueles que a providenciam, atentarem nas implicações não apenas técnicas, mas, sobretudo, éticas e sociais da sua atuação. Pronunciando-se em 2003 sobre a criação de uma cultura global de cibersegurança (Resolução 57/239), a Assembleia Geral das Nações Unidas incluiu a ética entre os elementos estruturantes dessa cultura global, explicando que, dada a omnipresença de sistemas e redes de informação nas sociedades modernas, todos os participantes (Governos, empresas, organizações e utilizadores individuais) devem respeitar os interesses legítimos dos outros e ter consciência de que os seus atos e omissões podem prejudicar esses outros.
As realizações práticas resultantes da implementação da tecnologia nem sempre serão eticamente neutras. A partir do momento em que reconhecemos o seu potencial de transformação social, económica e cultural, apreendemos também o seu papel enquanto promotoras da qualidade de vida. A ideia segundo a qual a tecnologia permite uma generalizada melhoria das condições de vida não é consensual, havendo quem a responsabilize por muitos dos problemas que afligem o cidadão moderno. A tecnologia será potencialmente responsável pela aceleração dos ritmos da vida contemporânea, pelo consumismo desenfreado, pela delapidação dos recursos e ecossistemas naturais, ou pela degradação das próprias relações humanas. Ainda assim, pode afirmar-se que o desenvolvimento da tecnologia tanto revela como molda aquilo que os seres humanos valorizam, indo ao encontro daquilo que lhes permite alcançar determinados níveis de bem-estar.
Ao mesmo tempo, os extraordinários desenvolvimentos tecnológicos a que assiste o século XXI vêm a constituir uma reconfiguração da global distribuição de poder, de justiça e de responsabilidade, pelo que se assumem, cada vez mais, como um instrumento eminentemente político (Vallor, 2018: 3). Na atual sociedade em rede, de sistemas de informação e comunicação digital, a posse de dados sensíveis sobre qualquer cidadão é cada vez mais uma fonte de poder. O armazenamento em larga escala de informação pessoal, de dados sensíveis sobre a vida particular de cada um, sobre os seus hábitos e comportamentos, nas mãos de um número restrito de entidades, pode ser problemático, como problemática pode ser a implícita capacidade, sem precedentes, de autoridades estatais e de entidades várias, públicas e privadas, para controlar e monitorizar dados, comunicações e movimentos de qualquer pessoa ou organização. O receio aumenta quando o cidadão recorre à assinatura eletrónica para certificar os seus documentos, ou quando leva a cabo transações financeiras com recurso ao e-banking, ou quando troca informações confidenciais através de meios eletrónicos. Numa outra perspetiva, também ela eticamente relevante, levanta-se a questão de saber até que ponto o acesso aos benefícios potenciados pela tecnologia, bem como a exposição aos seus riscos, se encontram devidamente distribuídos.
Transversal a toda esta realidade é o esforço de sensibilização da sociedade, não apenas para as ameaças a que está sujeita, como para a responsabilidade que tem ao nível de um funcionamento adequado das estruturas digitais. O cidadão não tem, muito frequentemente, consciência do quão vulnerável é a sua situação face à dependência de toda a tecnologia que o rodeia, e não tem consciência dos potenciais riscos que esse ambiente comporta para a sua privacidade, a sua propriedade ou a sua liberdade, face a estratégias inadequadas de cibersegurança. Trata-se, por um lado, de fomentar a chamada literacia digital da população (1), para que a mesma possa adotar comportamentos eticamente responsáveis face aos constantes desafios impostos pelo espaço digital envolvente. Comportamentos que dizem respeito às práticas que adota ao nível das redes sociais, aos cuidados que tem no âmbito das comunicações e transações financeiras que leva a cabo no mundo digital, aos sistemas de proteção que adquire para os seus próprios suportes informáticos, ou às cautelas de que se rodeia aquando do fornecimento dos seus dados pessoais.
Trata-se, por outro lado, de perceber que essa mesma literacia digital não substitui, antes complementa, a educação para a cidadania que às sociedades democráticas compete desenvolver. Se é certo que vivemos na era da informação, não o é menos que a informação de pouco vale se não houver educação. Nessa medida, uma competência que hoje se revela essencial é a da capacidade para devidamente filtrar, de entre a avassaladora quantidade de informação disponível, aquela que se mostra relevante, pertinente e fidedigna. Se não houver um pano de fundo cultural que permita processar, selecionar e organizar essa mesma informação, dificilmente se conseguirá lidar com aqueles desafios. Haverá sociedades que privilegiam valores como os da privacidade ou da liberdade, subalternizando outros como os da segurança e da estabilidade. De qualquer forma, e ainda
que dependendo dessas perspetivas socioculturais, a imputação ao cidadão desta ética de responsabilidade mostra-se uma plataforma fundamental ao equilíbrio das relações que o mesmo estabelece com a realidade tecnológica e digital em que se encontra inserido.
Todo este quadro permite realçar não só o carácter essencial da cibersegurança, enquanto linha crítica de proteção do cidadão face a ameaças a direitos e valores fundamentais à vida em democracia, como a sua natureza intrinsecamente ética, na medida em que pode a mesma, se mal pensada ou aplicada, contender com esses mesmos direitos e valores. Uma maior proteção traduz-se frequentemente num maior controlo sobre as redes e sistemas monitorizados, bem como numa mais intensiva recolha e armazenamento de dados. Constatando-se o potencial da cibersegurança enquanto eventual meio, mais ou menos sub-reptício, para monitorizar ou controlar os comportamentos dos seus beneficiários, sejam eles particulares, organizações ou o próprio Estado, a solução não passa por simplesmente prescindir dela. Pior do que ter estratégias pobres (ou abusivas) de cibersegurança – que podem configurar práticas antiéticas, ou práticas moralmente ambíguas – é não as ter de todo, uma vez que os riscos, como as vulnerabilidades, são potencialmente muito mais graves. Igualmente perigosa se mostrará uma cibersegurança excessivamente agressiva, que, procurando extremar os seus objetivos de garantir a integridade e a segurança, não apenas se mostre invasiva de espaços eminentemente privados, como torne inutilizáveis/inacessíveis as redes e sistemas que visa proteger.
O desafio ético fundamental que assim se coloca aos profissionais de cibersegurança é o de saber quão intrusivos devem ser os instrumentos aplicados e os recursos mobilizados, de modo a garantir a segurança, integridade e fiabilidade das redes e sistemas digitais, sem com isso pôr em causa as respetivas acessibilidade e funcionalidade, por um lado, e, por outro, a privacidade, propriedade e liberdade dos destinatários/utilizadores que com a sua intervenção se pretende resguardar. Muitas das recomendações feitas por organizações internacionais nos últimos anos têm incidido precisamente sobre a necessidade de assegurar uma adequada formação ética dos profissionais da cibersegurança, de modo a que estes tenham consciência do impacto significativo que as suas escolhas vão ter na qualidade de vida dos seus destinatários e adotem uma ética de responsabilidade que lhes permita, em cada cenário particular, proceder a uma cuidadosa reflexão, em função dos valores e interesses em presença, analisando riscos e benefícios, estando assim habilitados a fazer escolhas e a tomar decisões que não descurem a preservação e promoção daqueles valores e direitos fundamentais.
Ética do hackerismo
Uma das questões que mais debate tem suscitado no âmbito da cibersegurança prende-se com a eventual consagração de padrões éticos no seio da chamada comunidade hacker. Uma grande parte das estratégias de cibersegurança é dirigida à proteção de dados e recursos digitais contra ataques/acessos intencionais e não autorizados. O uso de elevadas competências informáticas para conseguir aceder indevidamente a recursos digitais é habitualmente designado pelo termo hacking, sendo que os respetivos agentes têm por hábito formar comunidades, ou redes, entre as quais partilham informação e conhecimento. A origem, em certa medida comum, do hacking e das práticas de cibersegurança no seio de coletividades amadoras e informais, torna necessário desenvolver padrões éticos claros dentro da classe emergente dos profissionais de cibersegurança. Dados os diferentes papéis que as suas competências específicas os podem levar a desempenhar, e dada a multiplicidade de interesses em jogo, pode haver uma tensão acentuada entre a lealdade devida por estes prestadores de segurança aos interesses do público e a que é devida aos interesses dos seus empregadores, ou aos interesses de agências governamentais, ou ainda aos interesses de particulares grupos ou subculturas no seio da comunidade da cibersegurança. Isto para além da lealdade devida aos interesses próprios de cada um destes agentes (Vallor, 2018: 11).
A expressão hacker é frequentemente empregada com uma conotação negativa, em direta relação com práticas de cibercrime. No entanto, o hacking, em si mesmo, não é ilegal, a não ser quando comprometa a segurança de um computador ou de uma rede informática sem o prévio consentimento do seu proprietário. Hoje em dia, muitas empresas e mesmo agências governamentais têm hackers ao seu serviço, com a responsabilidade de garantir a segurança dos respetivos sistemas digitais. Esta mesma duplicidade tem levado alguns autodenominados hackers a traçar uma distinção entre invasões não maliciosas de computadores ou redes informáticas, que descrevem como hacking, e maliciosas, que designam de cracking. Uma designação mais comum é a que distingue entre hackers de chapéu branco, preto ou cinzento, uma nomenclatura inspirada nos antigos filmes do Oeste, onde os “maus” usavam um chapéu de cowboy preto, enquanto os “bons” se distinguiam por usar um chapéu branco (Gerard, 2019: 189). Determinantes para a integração em cada uma destas categorias são as respetivas motivações e a ilegalidade das práticas, uma vez que os recursos e métodos empregados são fundamentalmente os mesmos. Os hackers de chapéu branco, também conhecidos como ethical hackers, dedicam-se a descobrir vulnerabilidades em sistemas ou redes digitais, com o conhecimento e consentimento dos respetivos proprietários. O objetivo é o de reforçar a segurança das mesmas redes, prevenindo eventuais ataques pela prévia resolução daquelas falhas. Podem trabalhar para empresas, agências governamentais, ou outras entidades, públicas e privadas, como especialistas de segurança aos quais compete detetar vulnerabilidades ao nível do software ou do hardware digital, de preferência antes que os hackers de chapéu preto o façam. Por contraposição, estes são aqueles hackers que, dotados dos mesmos extensos conhecimentos sobre como entrar nas redes digitais e contornar protocolos de segurança, o fazem sem autorização dos proprietários e com intuitos perniciosos. São movidos pelo ganho pessoal, que pode ou não ser financeiro, ou podem também estar envolvidos em ciberespionagem ou em ações de protesto, por entenderem, desde logo, que o acesso à informação deve ser livre (são os chamados hacktivistas). Podem-se dedicar ao roubo de dados, especialmente de natureza financeira, mas também de ordem pessoal, ou de credenciais de login; para além do roubo, podem pretender a modificação ou destruição desses mesmos dados.
Há ainda a referência aos hackers de chapéu cinzento que, não tendo propósitos maliciosos, procuram falhas e vulnerabilidades em determinados computadores ou redes informáticas sem a autorização dos respetivos proprietários, para com isso obter algum ganho, ainda que sem intenção de explorar as falhas detetadas. O seu propósito é o de, uma vez detetada alguma brecha de segurança, reportar a mesma ao proprietário a troco de alguma compensação financeira. Não conseguindo acordo da parte deste, propõem-se divulgar publicamente aquela mesma vulnerabilidade. A metáfora do chapéu cinzento vai precisamente ao encontro de uma zona ambígua de moralidade, que é aquela em que se movem estes agentes.
O que sucede muito frequentemente é que qualquer hacker se vê com acesso a informação sensível, quer de natureza pessoal, quer empresarial, detendo um enorme poder sobre redes, aplicações e sistemas digitais. O modo como irá gerir esse conhecimento, esse poder e essa autoridade, resume-se muitas vezes aos seus próprios padrões ético-morais (Persing, 2018). Isto justifica o cuidado que devem ter as empresas fornecedoras de serviços na contratação dos seus profissionais de cibersegurança: estes devem dar mostras de elevada competência técnica, naturalmente, mas devem igualmente ser selecionados em função dos padrões éticos que imprimem nas suas escolhas e decisões.
A este propósito, é também de referir o conceito muito debatido de divulgação responsável, ou divulgação ética (responsible or ethical disclosure). A partir do momento em que um hacker deteta uma vulnerabilidade numa rede ou num sistema operativo, qual o caminho que deve trilhar? Uma divulgação pública imediata, sem que exista uma solução que permita colmatar aquela “abertura” do sistema, poderá prejudicar o fornecedor, deixando também expostos os próprios consumidores. Mas até que ponto é ético não proceder a essa divulgação, deixando os utilizadores à mercê de eventuais ataques e ameaças? Uma divulgação responsável, também dita híbrida (CANVAS, 2017b: 9), é aquela que reporta a fragilidade ao fornecedor do serviço em causa, dando-lhe um prazo razoável para encontrar uma solução, antes de proceder a uma divulgação total. A necessidade, hoje, é a de conciliar esta divulgação responsável com o chamado “mercado de vulnerabilidades”, em que peritos em segurança se dedicam a descobrir falhas nas redes digitais com o objetivo de as vender aos respetivos fornecedores.
As questões éticas levantadas pela cibersegurança são tão variadas como os próprios contextos em que a mesma se vai tornando uma exigência, apresentando particularidades próprias consoante se esteja a lidar com armazenamento de dados, questões de criptografia, contratação eletrónica, assinaturas digitais, cibercrime ou segurança nacional. Esta heterogeneidade contextual e a permanente evolução do universo digital tornam difícil a implementação uniforme de diretrizes éticas pelas quais se possa pautar esse domínio. Não existe um código único, pormenorizado e estável, que permita aos fornecedores de tecnologias de cibersegurança saber, em cada situação particular, qual a melhor estratégia a adotar.
Cibersegurança, Ética e Direito
Há muito que os juristas romanos ensinaram que nem tudo o que é permitido por lei é honesto, ou seja, moral ou eticamente aceitável. O Direito e a Ética não se confundem, nem se podem substituir. O risco de que isso aconteça é, desde logo, o de que os agentes a quem compete implementar recursos de cibersegurança se conformem com a conceção e aplicação de mecanismos técnicos que se limitem a cumprir os parâmetros morais mínimos que a lei incorpora, desprezando a verdadeira dimensão ética inerente à sua atuação. Não basta o respeito pela legislação aplicável, sendo igualmente necessária a observância de princípios e valores éticos. Isso mesmo é assumido, por exemplo, nas Orientações Éticas para uma Inteligência Artificial (IA) de, de 2019 (2), onde a Ética é identificada como uma das três componentes essenciais de uma IA de confiança, lado a lado com a legalidade e a solidez técnica e social. Segundo este documento, cada uma das componentes é necessária, mas não suficiente, para alcançar uma IA de confiança, pelo que o ideal é que as três funcionem em harmonia, sobrepondo-se na sua ação.
A esfera jurídica pode, e deve, fornecer o enquadramento da atuação dos agentes a quem compete implementar recursos de cibersegurança. Tem procurado fazê-lo, a nível nacional, supranacional e internacional. Mas compete aos seus agentes ir mais além do Direito. Até porque o discurso da lei, onde ela existe, se vê naturalmente permeado por esse potencial de indeterminação de sentidos que torna a sua aplicação largamente dependente da sensibilidade de quem tem que a interpretar.
As inovações tecnológicas sucedem-se a um ritmo vertiginoso, avassalador, reconfigurando de dia para dia a construção social das nossas vidas e não permitindo ao legislador um acompanhamento efetivo dessas transformações. As soluções jurídicas são facilmente ultrapassadas e tornadas obsoletas pela velocidade, alcance e complexidade dos desenvolvimentos tecnológicos e dos seus muitas vezes imprevisíveis impactos sociais, o que tem levado os decisores políticos a privilegiar os códigos de conduta, enquanto instrumentos normativos mais flexíveis e adaptáveis à evolução das novas tecnologias. Essa foi, por exemplo, a justificação dada pela Comissão Europeia, em 1987, quando recomendou a adoção de um Código Europeu de Boa Conduta em Matéria de Pagamento Eletrónico (87/598/CEE), considerando ser “evidente que a tentativa de definir [de] um modo rígido e preciso o funcionamento de sistemas em plena mutação poderia levar ao estabelecimento de regras rapidamente ultrapassadas, que constituiriam mesmo obstáculo ao desenvolvimento tecnológico” e que uma “abordagem de incitação”, tal como o Código de boa conduta, seria preferível.
O desencontro entre os tempos do Direito e da tecnologia é particularmente sensível no domínio do Direito Penal, porque da sua aplicação resultam restrições a direitos fundamentais, desde logo, a liberdade. Os avanços e recuos no Direito Penal – de neocriminalização ou descriminalização –, a interpretação das normas que o compõem e a sua imposição aos casos concretos obrigam a uma ponderação, reflexão e análise minuciosas, algo que só é possível num espaço e tempo suficientemente espraiados.
As dificuldades que as novas tecnologias criam ao Direito (e ao Direito Penal em particular, por força do princípio da tipicidade) refletem-se, desde logo, ao nível da descrição normativa, pelo léxico usado. A realidade tecnológica é algo que o Direito tem dificuldade em incorporar ou transformar em letra de lei, seja porque se trata de um léxico completamente estranho ao Direito, seja pela transitoriedade desse mesmo léxico. Por essa razão, uma das técnicas legislativas encontradas, em particular no Direito da União Europeia, tem sido a de redigir uma lista de definições relevantes para um determinado diploma, as quais “visando resistir ao desafio da temporalidade das tecnologias, consistem em redações terminológicas de um elevado grau de abstração” (Freitas & Novais, 2018). Por vezes, porém, a abstração traz consigo complexidade, opacidade e falta de clareza, minando o objetivo principal das definições, que é o de auxiliar o intérprete. O desafio que se coloca é, então, o de encontrar conceitos e definições suficientemente abstratos para resistir ao polimorfismo da evolução tecnológica e, ao mesmo tempo, suficientemente concretos, para que a leitura do texto legal se torne mais acessível.
Acresce ainda a problemática da hiperespecialização académica e profissional, que leva a que “os operadores judiciários, preparados quase que exclusivamente para as tarefas de leitura e interpretação da lei, não disponham, em regra, das capacidades técnicas e académicas para a compreensão do horizonte material que cada um dos termos técnicos relacionados com novas tecnologias implica na vida prática. Esta circunstância, fomentada pela falta de aposta na multidisciplinaridade da formação profissional e académica, redunda, a jusante, na impossibilidade de apreciação autónoma do caso que necessite de ser qualificado juridicamente” (Freitas & Novais, 2018).
Cibersegurança e proteção de valores fundamentais
Subjacente à relevância de preocupações éticas no campo da cibersegurança, está a necessidade de proteger determinados valores que se mostram estruturantes do Estado de Direito e de uma sociedade livre e democrática. O trabalho desenvolvido por aqueles a quem compete providenciar a segurança do (e no) cada vez mais denso e complexo ecossistema digital, sendo um trabalho técnico, é também um trabalho que se exerce no seio do intrincado tecido de valores, direitos e interesses que conformam aquele Estado de Direito e aquela sociedade livre e democrática. A necessidade de proteger e promover esse tecido, evitando ameaças e reagindo a comportamentos capazes de os pôr em causa, obriga a escolhas e a decisões que têm uma inequívoca dimensão ética. Nem sempre essas escolhas e essas decisões serão fáceis e muitos serão os dilemas com que os prestadores desse serviço terão que se confrontar. Haverá frequentemente a necessidade de operar a conciliação desses interesses, desses valores e desses direitos, de acordo com contextos fácticos concretos e de acordo com objetivos situados. Para adotar uma determinada estratégia em detrimento de outra, no sentido de alcançar o equilíbrio desejável entre os vários interesses em presença, será necessário empreender uma cuidadosa reflexão de que serão eixos, entre outros, valores como os da fiabilidade, da transparência, da responsabilidade e dos direitos fundamentais. Estes constituirão níveis em torno dos quais será possível agregar grande parte das preocupações éticas desencadeadas pelos desafios da cibersegurança, ainda que dificilmente gozem de plena autonomia no seio dos respetivos processos de reflexão e de decisão, dadas as conexões recíprocas que entre eles necessariamente se estabelecem.
Gerar confiança é um propósito-chave da cibersegurança. Trata-se não apenas de garantir a integridade das redes e sistemas digitais, protegendo-os contra ameaças e ataques maliciosos, mas também de assegurar a fidedignidade da informação divulgada online, a privacidade (e viabilidade) das comunicações e a fiabilidade das transações financeiras realizadas com recurso a meios digitais, porque disso depende a confiança dos cidadãos no funcionamento das instituições, sejam elas públicas ou privadas. Esta dupla vertente é particularmente visível em período de eleições, pelo potencial de ameaças à integridade do sistema informático de suporte ao ato eleitoral e pelos riscos associados à disseminação de notícias falsas sobre os candidatos, a condução do processo eleitoral e/ou a legitimidade dos resultados.
As notícias falsas (fake news) ocupam um lugar proeminente na agenda política europeia desde 2015, quando foi criada a East StratCom Task Force para lidar com campanhas de desinformação então em curso. Em 2017, o Parlamento Europeu solicitou à Comissão Europeia que avançasse com a criação de um novo quadro legislativo em matéria de notícias falsas e de discurso de ódio, com a indicação de que tal quadro deveria contemplar a responsabilização dos operadores das plataformas online de modo compatível com a liberdade de expressão, mas que não dispensasse os fornecedores de serviços de levar a cabo os controlos necessários e tecnicamente possíveis. Como acontece em tantos outros domínios da cibersegurança, a opção de adotar um instrumento jurídico vinculativo foi preterida em favor da definição de um conjunto de compromissos e boas práticas de adesão voluntária por parte das principais plataformas digitais e operadores publicitários, através do Código de Conduta da UE sobre Desinformação, de setembro de 2018. Os compromissos assumidos incluem, entre outros, o dever de (a) garantir que todos os anúncios publicitários são claramente distinguíveis do conteúdo editorial; (b) investir em meios tecnológicos para dar prioridade a informações pertinentes, autênticas e fidedignas nas pesquisas, nos feeds de notícias ou noutros canais de distribuição com classificação automática; e (c) apoiar esforços independentes envidados de boa-fé para controlar a desinformação e compreender o seu impacto, incluindo a rede independente de verificadores de factos, uma vez criada, viabilizada pela Comissão Europeia. Na avaliação que fez do primeiro ano de vigência do Código de Conduta, em setembro de 2020 [SWD(2020) 180], a Comissão considerou que o Código constitui um instrumento valioso, por proporcionar o enquadramento para um diálogo estruturado entre as várias partes interessadas sobre a garantia de maior transparência das políticas adotadas pelas plataformas digitais no combate à desinformação, mas reconheceu também algumas limitações decorrentes do carácter autorregulatório do Código (3).
Num século em que a tecnologia domina, ademais, hábitos, relações e memórias, o valor da confiança mostra-se uma exigência nas relações que o cidadão estabelece com as estruturas e redes digitais. Não se pode perder de vista, no entanto, que a mesma confiança está dependente de variáveis que não se circunscrevem às intervenções tecnológicas, ou mesmo às estratégias e políticas de cibersegurança. A confiança do cidadão na integridade e fiabilidade das redes pode limitar-se a refletir uma inconsciência / ignorância face às potenciais ameaças ou aos eventuais riscos que as mesmas comportam, com uma consequente atitude que, mais do que confiança, traduzirá incúria. A confiança do cidadão dependerá não só da existência de adequadas práticas de cibersegurança como igualmente do adequado fomento de uma cultura cívica que, promovendo o seu nível de formação e de informação, contribua para a adoção de comportamentos eticamente responsáveis no ciberespaço.
Para gerar confiança é necessário assegurar a transparência dos procedimentos e a rápida comunicação de ameaças e incidentes aos indivíduos e entidades potencialmente afetados. Todos os planos de ação e códigos de conduta adotados sobre a matéria sublinham estes aspetos, ainda que não exista uma regra geral uniformemente aplicável aos diferentes cenários de cibersegurança. Caberá sempre aos operadores de cibersegurança avaliar em concreto, por exemplo, qual o momento adequado para divulgar a existência de vulnerabilidades ou a ocorrência de incidentes junto dos potenciais lesados e do público em geral, ponderando os riscos associados a uma divulgação precipitada (e.g. maximização do risco) e a uma divulgação tardia (e.g. quebra de confiança dos consumidores). O que seja uma notificação atempada é muito discutível e dependerá sempre das circunstâncias e da ponderação de interesses a fazer em cada caso concreto (Vallor, 2018: 11).
Os deveres de transparência incidem sobre diferentes aspetos, consoante a área ou setor em causa. Se se trata do armazenamento de dados pessoais, os operadores têm o dever de informar os consumidores quanto ao modo como os seus dados são usados, analisados e armazenados. Uma preocupação recorrente a respeito da partilha de informação no ciberespaço prende-se com a falta de transparência sobre o modo como os dados são usados pelas empresas e por terceiros, com prejuízo para a privacidade, a segurança e a autonomia dos consumidores (CANVAS, 2017a: 28). Se se trata de relações laborais, é necessário que os empregadores informem os seus empregados sobre o uso de meios informáticos de monitorização do desempenho e sobre as razões que justificam esse uso, com esclarecimentos quanto ao respetivo alcance e potenciais efeitos colaterais. No Código de Conduta da UE sobre Desinformação, por exemplo, a tónica é posta na garantia da transparência quanto à origem da informação e à forma como esta é produzida, divulgada, patrocinada e direcionada, o que implica o dever de escrutinar, controlar e limitar efetivamente a colocação de publicidade nas contas e nos sítios Web pertencentes a agentes desinformadores, bem como de informar os utilizadores quanto ao que é propaganda política e publicidade temática, de modo a que estes possam compreender a razão pela qual foram alvo de um determinado anúncio.
A concretização de uma cultura de transparência em matérias relacionadas com a segurança do ciberespaço não é tarefa fácil, atenta a circunstância de se tratar de um domínio que é, por definição, extremamente técnico e cuja linguagem, não sendo cifrada, não deixa de ser críptica para os leigos e o público em geral. Por outro lado, nem sempre os interesses económicos dos agentes implicados vão ao encontro da efetiva implementação dessa cultura de transparência. Cabe aos responsáveis pela cibersegurança a compreensão deste desafio e o empenhamento ético em assegurar que os destinatários das informações prestadas em cumprimento dos seus deveres de transparência compreendem efetivamente o conteúdo dessas informações e ficam cientes dos riscos que enfrentam e das opções de que dispõem.
A responsabilidade é outro dos elementos estruturantes de uma qualquer “cultura global de cibersegurança”, como a que vimos ser defendida pela Assembleia Geral das Nações Unidas em 2003. Todos os participantes no ciberespaço – Governos, empresas, organizações e utilizadores individuais – são, à sua medida, responsáveis pela segurança dos sistemas e redes de informação e pela fidedignidade da informação que circula online. Não surpreende, por isso, que as recomendações e orientações produzidas no quadro de organizações como a União Europeia e a Organização para a Cooperação e Desenvolvimento Económico (OSCE) se dirijam a todas as partes interessadas e ponham a tónica na responsabilidade (4). É também esse o sentido da Norma ISO 26000, adotada em 2010, que é dirigida a empresas e a organizações de todo o mundo e que procura ajudá-las a compreender qual a sua responsabilidade social e de que modo este princípio pode ser traduzido em ações concretas5.
Espera-se que as empresas de tecnologia assumam as suas responsabilidades na proteção do interesse público, lado a lado com os Governos dos Estados (Vallor, 2018: 3). A responsabilidade ética e deontológica dos profissionais de cibersegurança é explicitada num grande número de Códigos de Conduta adotados por empresas e organizações, como o Information Systems Security Association (ISSA) Code of Ethics e o ACM Code of Ethics and Professional Conduct. Por último, são cada vez mais frequentes as chamadas de atenção para a importância da tomada de consciência por parte dos indivíduos, enquanto trabalhadores, consumidores e utilizadores, da sua quota-parte de responsabilidade na manutenção de um ecossistema digital livre, seguro e fidedigno.
A cibersegurança assume uma clara dimensão ética precisamente pelos efeitos potencialmente devastadores que a insegurança no ciberespaço, por um lado, e os mecanismos de controlo cibernético, por outro, podem ter para a dignidade da pessoa humana. Os direitos fundamentais em risco incluem a privacidade, a liberdade, a propriedade, os direitos de participação política, a informação, a saúde e a própria vida dos indivíduos. A ponderação de interesses e direitos é um exercício ético constante para os decisores políticos, para as empresas e para os profissionais da cibersegurança e os quadros de referência éticos e jurídicos disponíveis não oferecem regras unívocas e prontas a usar em todos os contextos da vida real.
Nem sempre serão de fácil compatibilização, desde logo, as estratégias de cibersegurança adotadas para proteger os interesses privados de indivíduos e organizações e aquelas que visam proteger interesses governamentais, dirigindo-se à segurança nacional. A proteção de infraestruturas críticas de informação face a ameaças externas tornou-se, especialmente após os ataques de 11 de setembro de 2001, uma prioridade global. A rede digital do Governo, mas também outras infraestruturas de informação públicas e privadas, como a internet ou a rede de telefones, viram-se submetidas a reforçadas medidas de segurança (Brey, 2007: 21- 36). Isto implicou, e implica, um maior controlo por parte das instâncias governamentais sobre essas mesmas estruturas, com o risco de abrir as portas a uma vigilância massiva da vida e comportamentos dos cidadãos, e de pôr em causa a sua privacidade e autonomia. Sendo a privacidade um valor que, nas sociedades modernas, corresponde ao ideal de um indivíduo autónomo que é livre para agir e decidir o seu destino, o próprio valor da liberdade individual pode ser ameaçado pela híper-vigilância que é potenciada pelas práticas de cibersegurança.
Numa outra esfera, o combate à disseminação de notícias falsas e às campanhas de desinformação, por exemplo, deve ser levado a cabo sem prejuízo da liberdade de expressão e do direito à informação, pelo que as recomendações feitas às autoridades estatais são no sentido de que estas se abstenham de interferir e censurar conteúdos que não sejam ilegais e que procurem garantir um ambiente favorável a um debate inclusivo e pluralista (ERC, 2019: 3).
Em sociedades em rede, os dados sensíveis raramente ficam confinados ao contexto digital em que foram originalmente criados ou partilhados, representando esta circunstância um risco acrescido de potenciais acessos não consentidos aos mesmos. A quantidade avassaladora de dados pessoais armazenados nas redes digitais expõe diariamente o cidadão a comportamentos maliciosos, e eventualmente criminosos, que põem em risco tanto a sua privacidade como a sua propriedade (desde logo intelectual). Agentes não autorizados podem comprometer a confidencialidade de informação sensível acedendo-lhe indevidamente, manipulando-a, disseminando-a ou mesmo eliminando-a. Este quadro coloca sobre os fornecedores de serviços uma enorme pressão, tendo estes que encontrar soluções adequadas em cenários muito variáveis. Uma vez que o controlo pessoal de dados sensíveis é praticamente impossível de manter em contextos conectados, a responsabilidade ética de impedir danos irreparáveis à privacidade, propriedade e liberdade sai cada vez mais da esfera dos donos originais dos dados sensíveis para integrar os deveres de cuidado próprios do prestador de serviços. A qualidade técnica e ética dos assessores de segurança junto destas entidades mostra-se aqui uma fundamental linha de proteção.
Nas cidades inteligentes em que hoje vivemos, caracterizadas pela crescente aplicação da ciência e das TIC à governação pública, a adoção de uma adequada política de cibersegurança mostra-se igualmente vital para proteger a integridade física e a própria vida do cidadão. Isto é passível de acontecer, desde logo, ao nível das chamadas estruturas críticas de segurança, que integram sistemas digitais com uma componente de controlo em tempo real, e que podem ter um impacto direto na vida dos cidadãos. São exemplos os sistemas digitais de controlo de reatores nucleares, de aviões ou de tráfego aéreo, sistemas de mísseis ou redes de assistência médica. A falta de integridade de alguns outros tipos de sistema pode igualmente implicar consequências passíveis de ameaçar o valor da vida de modo mais indireto, incluídos aqui sistemas digitais vocacionados para o desenho, monitorização, diagnóstico ou tomada de decisões. Como exemplo, tomem-se os de sistemas empregados para desenho de pontes ou para diagnóstico médico (Brey, 2007: 21-36). Práticas deficitárias de cibersegurança podem assim revelar-se, mais do que ineficazes, verdadeiramente antiéticas, na medida em que, ora pecando por excesso ora por defeito, põem em risco valores e direitos fundamentais do cidadão, e com esses, um eixo central da preservação de uma sociedade livre e democrática.
DESTAQUES
A insegurança no ciberespaço e os mecanismos de controlo e proteção cibernéticos podem ter efeitos devastadores para a dignidade da pessoa humana, com o potencial de afetar valores como a privacidade, propriedade, liberdade, saúde ou mesmo a vida.
Os fundamentais desafios éticos com que se defronta a cibersegurança prendem-se com a necessidade de a mesma cumprir os seus propósitos no respeito pelos limites que constituem os valores subjacentes à proteção da dignidade da pessoa humana.
Os fornecedores de cibersegurança têm de lidar com os desafios éticos associados ao conhecimento dos limites da sua própria atuação: saber até onde devem ir para garantir os propósitos de segurança e integridade das redes, sem contender com os interesses e direitos fundamentais dos vários agentes envolvidos.
A heterogeneidade dos contextos em que atua a cibersegurança e a celeridade a que se verificam as transformações tecnológicas inviabilizam a implementação de diretrizes éticas estáveis e uniformes.
O legislador tem dificuldade em acompanhar em tempo útil as transformações tecnológicas. Em todo o caso, a ética não se esgota nas leis, nem se confunde com elas. Um comportamento lícito não é necessariamente um comportamento ético.
A definição de estratégias de cibersegurança deve atender à proteção de valores passíveis de congregação em torno dos eixos da confiabilidade, da transparência, da responsabilidade e dos direitos fundamentais.
A promoção da cultura de transparência e da ética de responsabilidade impende sobre as entidades prestadoras de serviços, públicas ou privadas, sobre os profissionais de cibersegurança e sobre os próprios cidadãos, enquanto utilizadores das plataformas e sistemas digitais.
É fundamental o papel desempenhado pelos cidadãos, informados e educados numa ética de responsabilidade, para o adequado funcionamento das estruturas e redes digitais.
(1)De acordo com o Relatório da Comissão Europeia sobre o Índice de Digitalidade da Economia e da Sociedade (IDES) de 2020, o nível de literacia digital da população portuguesa é reduzido por comparação à média da UE, ainda que Portugal tenha registado progressos na dimensão do capital humano, graças a uma melhoria no nível básico de competência digitais e uma maior percentagem de licenciados em TIC. Informação disponível em ec.europa.eu/digital-single-market/en/scoreboard/portugal [21.12.2020].
(2)Dss Orientações foram preparadas por um grupo independente de peritos de alto nível sobre a IA, criado pela Comissão Europeia em 2018, e estão disponíveis em ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai [21.12.2020].
(3)Informação disponível em ec.europa.eu/digital-single-market/en/news/assessment-code-practice-disinformation-achievements-and-areas-further-improvement [21.12.2020].
(4)Considerem-se, por exemplo, as já referidas Orientações Éticas para uma IA de Confiança e a Recomendação do Conselho da OCDE sobre Inteligência Artificial, ambas de 2019. O texto da Recomendação está disponível em legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 [21.12.2020].
(5)Informação disponível em www.iso.org/iso-26000-social-responsibility.html [21.12.2020].
Última atualização em 15-07-2022