União Europeia quer inclusão de backdoors em VPNs para permitir o acesso de autoridades

Quando se trata de privacidade, a União Europeia é frequentemente elogiada como uma líder que serve de exemplo para o resto do mundo. Com a promulgação da histórica legislação de privacidade GDPR em 2018, considerada um padrão para a proteção de dados pessoais, esses elogios não são totalmente infundados.

No entanto, nos últimos anos, diversos grupos dentro da UE têm proposto iniciativas que ameaçam enfraquecer outro direito digital fundamental, intimamente ligado à proteção dos dados pessoais — o direito à privacidade. Até recentemente, a maior ameaça era a chamada proposta de “controle de chats”, que poderia forçar aplicativos de mensagens com criptografia de ponta a ponta a escanear todas as fotos, vídeos e URLs que você compartilha com outras pessoas. Essa proposta ainda não avançou (por enquanto), após enfrentar resistência de países preocupados com suas possíveis implicações para a privacidade das pessoas.

VPNs como um “grande desafio” para a aplicação da lei

Desta vez, a ameaça vem de um relatório recém-publicado pelo High-Level Group (HLG). O grupo foi encarregado de “explorar os desafios” que as autoridades enfrentam na UE em relação ao “acesso a dados e possíveis soluções para superá-los” em junho de 2023. Em março de 2025, o grupo publicou a versão final do seu relatório, no qual nomeia as VPNs como um dos principais desafios enfrentados pelas autoridades na realização de seu trabalho.

Dispositivos e aplicativos criptografados, novos operadores de comunicação, Redes Privadas Virtuais (VPNs), etc., são projetados para proteger a privacidade de usuários legítimos. Mas também oferecem aos criminosos meios eficazes para esconder suas identidades, comercializar produtos e serviços ilícitos, canalizar pagamentos e ocultar suas atividades e comunicações, evitando de forma eficaz a detecção, investigação e punição.

Essa é a primeira vez que as VPNs são explicitamente identificadas como um obstáculo às operações das autoridades pela UE. Essa designação é preocupante, já que considerar algo um desafio implica o desejo de superá-lo, certo?

Para ser justo, ao longo do relatório o grupo menciona que a necessidade de acesso à informação deve ser equilibrada com os direitos de privacidade e segurança. O relatório cita “alguns especialistas da aplicação da lei” que “indicaram” que, em certos casos, a tecnologia de criptografia foi projetada de maneira a equilibrar tanto a segurança quanto a necessidade de escaneamento de conteúdo.

No entanto, nós não vemos dessa forma. Embora os autores do relatório tentem agir com cautela e falem em encontrar um compromisso entre privacidade e acesso das autoridades, a verdade é que essas duas coisas simplesmente não podem coexistir. Dar acesso às autoridades só enfraquece a criptografia e a privacidade, elementos cruciais para manter os dados das pessoas seguros.

Com a Comissão Europeia lançando uma nova iniciativa chamada ProtectEU, uma versão reformulada da Estratégia de Segurança Interna da Europa, cresce a preocupação de que os direitos digitais possam ser deixados de lado em favor de mais poderes para a aplicação da lei. Um dos pilares centrais dessa estratégia é fornecer às autoridades “as ferramentas certas para serem eficazes”, o que inclui especificamente o “acesso legal a dados”. Ao examinar os detalhes, a Comissão menciona planos para desenvolver um roteiro sobre criptografia e realizar uma avaliação de impacto com o objetivo de atualizar as regras de retenção de dados da UE. Embora tudo isso soe bastante neutro, há fortes indícios de que se trata de uma linguagem cuidadosamente escolhida para abrir caminho para backdoors obrigatórios na criptografia.

Não há meio-termo nesse debate

O foco recente da União Europeia sobre os serviços de VPN, juntamente com os aplicativos de mensagens com criptografia de ponta a ponta, destaca uma questão importante: a pressão por maior acesso a dados vem às custas das liberdades pessoais. Embora seja compreensível que as autoridades precisem de ferramentas para investigar crimes, não há meio-termo nesse debate — é preciso fazer uma escolha crítica. Ou se opta pela segurança e anonimato, ou se concorda em criar mecanismos que permitam a coleta de dados dos usuários. E uma vez que essa coleta é permitida, entra-se em um terreno escorregadio, com risco de erosão dos direitos de privacidade de milhões de pessoas inocentes.

O HLG colocou os serviços de VPN no centro desse debate, classificando-os como um “grande desafio” para as investigações. As VPNs anonimizam as atividades online dos usuários ao mascarar seus endereços IP, dificultando para as autoridades a coleta de metadados que poderiam ajudar a identificar suspeitos. Isso é visto como um obstáculo às investigações, especialmente considerando que metadados — informações como quem está se comunicando, quando e onde — podem ser tão valiosos quanto o conteúdo em si. O mais preocupante é que as recomendações no relatório sugerem que todos os serviços sejam obrigados a reter e fornecer metadados às autoridades sob ameaça de sanções.

Muitos serviços de VPN, especialmente aqueles que seguem uma política de não registrar logs, são projetados para priorizar o anonimato e a segurança dos dados dos usuários. Isso significa que, a menos que mudanças cruciais sejam feitas em seu design, eles são incapazes de fornecer as informações que as autoridades solicitam. E isso não é apenas por falta de vontade — é porque de fato eles não têm essas informações. Um marco legal que obrigue as VPNs a reterem metadados dos usuários — possivelmente por longos períodos — pode tornar esses serviços inviáveis, levando à retirada de provedores de VPN da UE. Isso não seria inédito; algo semelhante aconteceu na Índia em 2022, quando uma lei exigiu que os provedores de VPN retivessem amplos dados dos usuários, incluindo nomes, por longos períodos, provocando um êxodo de VPNs do país.

Também podemos relembrar o caso do Telegram, que enfrentou grande pressão após as autoridades francesas prenderem o fundador da plataforma, Pavel Durov. O Telegram, antes um bastião da privacidade, passou a entregar mais dados de usuários — como endereços IP e números de telefone — após o ocorrido.

Se a UE exigir que as VPNs coletem e compartilhem dados, estará afastando serviços voltados à privacidade e enfraquecendo os direitos digitais dos indivíduos. As perguntas que ficam são: Vale mesmo a pena comprometer a privacidade de dezenas de milhões de pessoas para, potencialmente, capturar alguns criminosos? Esse nível de vigilância é realmente necessário? Acreditamos que não se pode perder de vista o panorama geral — a preservação da privacidade no mundo digital.