Apple e Google alertam que a legislação canadense proposta sobre segurança online pode permitir que as autoridades obriguem secretamente empresas de tecnologia a enfraquecer proteções de criptografia em telefones, plataformas em nuvem e serviços de mensagens.
As preocupações giram em torno do Projeto de Lei C-22, legislação atualmente em debate na Câmara dos Comuns do Canadá. O projeto de lei foi criado para ampliar os poderes de acesso legal para as forças de segurança e agências de inteligência que investigam ameaças à segurança e atividades criminosas. Autoridades canadenses dizem que a proposta ajudaria as autoridades a obter evidências digitais mais rapidamente e a responder de forma mais eficaz aos riscos à segurança nacional.
No entanto, Apple, Google, Meta e defensores da privacidade argumentam que a legislação poderia criar um arcabouço que permita ao governo ordenar discretamente que as empresas construam capacidades de vigilância ou burlem sistemas de criptografia sem informar os usuários.
Durante depoimentos perante o Comitê Permanente de Segurança Pública e Segurança Nacional do Canadá, representantes da Apple e do Google pressionaram os legisladores a adicionar proteções de criptografia mais fortes e supervisão judicial obrigatória ao projeto.
A diretora do Google para assuntos governamentais e políticas públicas no Canadá, Jeanette Patell, alertou que ordens secretas do governo minariam a transparência e a confiança pública. A Apple também argumentou que o projeto de lei poderia prejudicar as proteções de privacidade das quais os usuários dependem para comunicações pessoais seguras, informações financeiras e dados sensíveis.
A lei proposta não exige explicitamente que as empresas quebrem a criptografia. Ainda assim, críticos dizem que linguagem vaga sobre “vulnerabilidades sistêmicas” e poderes de acesso legal pode pressionar as empresas a criar backdoors ocultos ou enfraquecer arquiteturas de segurança ao longo do tempo.
A Apple apontou seu recente conflito com o Reino Unido como exemplo dos riscos representados pelas exigências secretas do governo. No ano passado, a Apple retirou os serviços de backup criptografado em nuvem do Reino Unido após receber uma ordem confidencial exigindo acesso a dados criptografados dos usuários.
Quando legisladores canadenses perguntaram se a Apple poderia deixar o Canadá se fosse obrigada a enfraquecer a criptografia, o executivo da Apple, Erik Neuenschwander, recusou-se a especular, mas disse que a empresa esperava que mudanças fossem feitas na legislação.
A Meta também alertou que o projeto de lei pode obrigar as empresas a instalar spyware governamental ou manter capacidades que contornam proteções contra criptografia. A empresa afirmou que tais medidas podem, em última análise, tornar os usuários menos seguros ao introduzir fraquezas exploráveis em sistemas projetados para resistir a ataques cibernéticos e vigilância.
A Segurança Pública Canadá rejeitou alegações de que a legislação exigiria a introdução de vulnerabilidades sistêmicas em serviços criptografados. Autoridades do governo disseram que o projeto de lei tem como objetivo permanecer “neutro em relação à criptografia”, ao mesmo tempo em que permite investigações legais sobre ameaças sérias.