Como a sessão final de negociação para aprovar o tratado de crimes cibernéticos da ONU acontecerá em apenas alguns dias, a EFF e 21 organizações da Sociedade Civil Internacional hoje apelam urgentemente aos delegados dos estados da UE e à Comissão Europeia que corrigem as muitas falhas da Convenção, que incluem um escopo excessivamente amplo que concederá poderes intrusivos de vigilância sem salvaguardas robustas de direitos humanos e proteção de dados.

Agora é a hora de exigir alterações no texto para restringir o escopo do tratado, limitar os poderes de vigilância e explicitar os princípios de proteção de dados. Sem essas correções, o projeto de tratado dará a capa da legitimidade internacional às práticas abusivas dos governos e deve ser rejeitado.  

Carta abaixo:  

Apelo urgente para corrigir falhas rícticas no última versão da Convenção de Crime Cibernético da ONU  

Antes da sessão final já convocada da Comitê Ad Hoc sobre Crimes Cibernéticos (AHC) das Nações Unidas (ONU) em Nova Iorque no final deste mês, nós, as organizações abaixo-assinadas, desejamos chamar atenção urgentemente para as persistentes falhas críticas no última versão da Convenção sobre Cibercrime da ONU (doravante chamada Convenção sobre Cibercrime ou a Convenção).

Apesar das modificações recentes, continuamos a ter profundas preocupações com as deficiências persistentes da presente versão preliminar e pedimos aos Estados membros que não assinem a convenção em sua forma atual.  

As principais preocupações e propostas de remediação são:

1. Escopo excessivamente amplo e incerteza legal:  

• O escopo da versão da Convenção permanece excessivamente amplo, incluindo delitos habilitados pela cibernéticas e outros crimes relacionados ao conteúdo. O título proposto da Convenção e a introdução do novo artigo 4-com sua referência vaga a “ofensas estabelecidas de acordo com outras convenções e protocolos das Nações Unidas”-cria incerteza jurídica significativa e expande o escopo para uma lista indefinida de possível crimes a serem determinados apenas no futuro. Essa ambiguidade incorre o risco de criminalizar a expressão legítima online, tendo um efeito abafador e prejudicial ao estado de direito. Continuamos a recomendar que restringe o escopo da Convenção a apenas crimes cíber-dependentes já existentes e claramente definidos, para facilitar sua aplicação coerente, garantir certeza e previsibilidade jurídica e minimizar possíveis abusos. 
• O versão preliminar da Convenção no artigo 18 não tem clareza sobre o passivo das plataformas online por ofensas cometidas por seus usuários. A versão rascunho atual do artigo carece da exigência de participação intencional em ofensas estabelecidas de acordo com a convenção, também contradizendo o artigo 19, que requer intenção. Isso representa o risco de que os intermediários online possam ser responsabilizados por informações divulgadas por seus usuários, mesmo sem conhecimento real ou consciência da natureza ilegal do conteúdo (conforme estabelecido na Lei de Serviços Digitais da UE), que incentivará esforços de moderação de conteúdo excessivamente amplos por plataformas em detrimento da liberdade de expressão. Além disso, a redação é muito mais ampla ("por participação") do que a Convenção de Budapeste ("cometido para o benefício da cooperação") e mereceria esclarecimentos como encontrados no parágrafo 125 do Relatório Explicativo à Convenção de Budapeste do Conselho da Europa.
• A proposta na versão revisada da resolução de elaborar um projeto de protocolo suplementar da Convenção representa um impulso adicional para expandir o escopo das ofensas, arriscando a criação de uma estrutura cada vez mais punitiva e ampla.  

2. Proteção insuficiente para atores de boa-fé:  

• O projeto de convenção deixa de incorporar linguagem suficiente para proteger atores de boa-fé, como pesquisadores de segurança (independentemente de se trata de teste autorizado ou proteção de um sistema de tecnologia de informação e comunicação), denunciantes, ativistas e jornalistas, de criminalização excessiva) . É crucial que o elemento mens rea nos dispositivos relacionados a crimes associados com a cibernética incluam referências a dolo criminoso e danos causados.                                                  

3. Falta de salvaguardas de direitos humanos específicos:  

• O artigo 6 carece de salvaguardas específicas de direitos humanos - como proposto pelas organizações da sociedade civil e pelo Alto Comissário dos Direitos Humanos da ONU - para garantir um entendimento comum entre os Estados-Membros e facilitar a aplicação do tratado sem limitação ilegal de direitos humanos ou liberdades fundamentais. Tais salvaguardas devem ser:  

• Aplicáveis a todo o tratado para garantir que os esforços de combate aos crimes cibernéticos forneçam proteção adequada aos direitos humanos;  

• estar de acordo com os princípios da legalidade, necessidade e proporcionalidade, não discriminação e propósito legítimo;  

• Incorporar o direito à privacidade entre os direitos humanos especificados;  

• Abordar a falta de integração efetiva de gênero para garantir que a convenção não prejudique os direitos humanos com base no gênero.  

4. Medidas Processuais e a Aplicação da Lei:  

• A Convenção deve limitar o escopo das medidas processuais à investigação dos crimes estabelecidos na Convenção, de acordo com o ponto 1 acima.  

• Para facilitar sua aplicação e - à luz de sua intrusividade - minimizar o potencial de abuso, este capítulo da Convenção deve incorporar as seguintes condições e salvaguardas mínimas estabelecidas sob a lei internacional de direitos humanos. Especificamente, o seguinte deve ser incluído no artigo 24:  

• os princípios da legalidade, necessidade, proporcionalidade, não discriminação e propósito legítimo;  

• autorização (judicial) anterior para medidas de vigilância e monitoramento durante toda a sua aplicação;  

• notificação adequada dos indivíduos em questão, uma vez que não mais prejudica as investigações;  

• e relatórios regulares, incluindo dados estatísticos sobre o uso de tais medidas.  

• Os artigos 28/4, 29 e 30 devem ser excluídos, pois incluem medidas excessivas de vigilância que possibilitam a interferência na privacidade sem salvaguardas suficientes, além de potencialmente prejudicam a segurança cibernética e a criptografia.  

5. Cooperação internacional:

• A convenção deve limitar o escopo da cooperação internacional apenas aos crimes estabelecidos na própria convenção para evitar o uso indevido (conforme o ponto 1 acima). Compartilhamento de informações para a cooperação das agências de segurança pública deve ser limitada a investigações criminais específicas com proteção explícita de dados e proteção dos direitos humanos.  

• O artigo 40 requer “a mais ampla medida da assistência jurídica mútua” para crimes estabelecidos de acordo com a convenção, bem como qualquer delito grave sob a lei interna do Estado-Membro solicitante. Especificamente, quando nenhum tratado sobre assistência jurídica mútua se aplica entre os Estados-Membro, os parágrafos 8 a 31 estabelecem regras extensas sobre obrigações de assistência jurídica mútua com qualquer parte com salvaguardas de direitos humanos em geral insuficientes e motivos de recusa. Por exemplo, o parágrafo 22 define uma barra alta de "motivos substanciais para acreditar" para que o Estado solicitado pode recusar prestar assistência.  

• Quando os Estados Partes não podem transferir dados pessoais por causa das suas leis aplicáveis, como a estrutura de proteção de dados da UE, a obrigação conflitante no artigo 40 de oferecer ao Estado solicitante “a mais ampla medida de assistência jurídica mútua” pode incentivar indevidamente a transferência do dados pessoais sujeitos às condições especificadas nos termos do artigo 36 (1) (b), por exemplo, através de derrogações para situações específicas do artigo 38 da Diretiva de Aplicação da Lei da UE. O artigo 36 (1) (c) da Convenção também incentiva as Partes a estabelecer acordos bilaterais e multilaterais para facilitar a transferência de dados pessoais, o que cria um risco adicional de baixar o nível de proteção de dados garantido por legislação da UE.
• Quando dados pessoais são transferidos em plena conformidade com a estrutura de proteção de dados do Estado solicitado, o artigo 36 (2) deve ser fortalecido para incluir padrões claros, precisos, inequívocos e eficazes para proteger dados pessoais no Estado solicitante e evitar que dados pessoais sendo processados ​​e transferidos para outros Estados de forma que viole o direitos fundamentais à privacidade e proteção de dados.

 Conclusão e chamada à ação:  

Durante todo o processo de negociação, apontamos repetidamente os riscos que o tratado em sua forma atual representa aos direitos humanos e a segurança cibernética global. Apesar das mais recentes modificações, a versão preliminar revisada falha em abordar nossas preocupações e continua correndo o risco de tornar os indivíduos e instituições menos seguros e mais vulneráveis ​​ao crime cibernético, assim contrariando seu próprio objetivo.  

Não restringir o escopo de todo o tratado a crimes associados com a cibernética, de forma que protege o trabalho de pesquisadores de segurança, defensores de direitos humanos e outros atores legítimos, e que fortalece as salvaguardas dos direitos humanos, limite os poderes de vigilância e explicite os princípios de proteção dos dados acabara a dar às práticas abusivas dos governos uma capa de legitimidade internacional. Também tornará as comunicações digitais mais vulneráveis ​​aos crimes cibernéticos que a convenção tenta combater. Por fim, se a versão preliminar não puder ser corrigida, deve ser rejeitada.  

Com a sessão final da AHC da ONU prestes a retomar, convidamos as delegações dos Estados-Membro da União Europeia e a delegação da Comissão Europeia a redobrar seus esforços para resolver os problemas destacados e garantir que a Convenção de Crime Cibernética proposta seja restrita em seu escopo material e que não seja usada para enfraquecer os direitos humanos e a segurança cibernética. Na ausência de mudanças significativas para lidar com as deficiências existentes, pedimos as delegações dos Estados-Membro da UE e da Comissão da UE que rejeitam a versão preliminar da Convenção e não a deixar avançar para a Assembleia Geral da ONU para adoção.

Access Now
Alternatif Bilisim
ARTICLE 19: Global Campaign for Free Expression
Centre for Democracy & Technology Europe
Committee to Protect Journalists
Digitalcourage
Digital Rights Ireland
Digitale Gesellschaft
Electronic Frontier Foundation (EFF)
epicenter.works
European Center for Not-for-Profit Law (ECNL) 
European Digital Rights (EDRi)
Global Partners Digital
International Freedom of Expression Exchange (IFEX)
International Press Institute 
IT-Pol Denmark
KICTANet
Media Policy Institute (Kyrgyzstan)
Privacy International
SHARE Foundation
Vrijschrift.org
World Association of News Publishers (WAN-IFRA)
Zavod Državljan D (Citizen D)