Novo projeto de lei de cibersegurança daria a Erdogan controle irrestrito
Um ambicioso projeto de lei de cibersegurança recentemente introduzido no Parlamento turco provocou reações duras, com críticos levantando alarmes sobre potenciais ameaças aos direitos humanos e liberdades individuais. Embora o projeto vise fortalecer as defesas da nação contra ameaças cibernéticas crescentes, suas disposições geraram preocupação sobre vigilância, privacidade de dados e a concentração de autoridade em instituições governamentais.
O projeto foi aprovado pelo Comitê de Defesa Nacional do parlamento em 20 de janeiro e foi submetido para aprovação em plenário. Espera-se que o projeto seja acelerado pelo parlamento para fornecer uma base legal para a Diretoria de Cibersegurança, estabelecida pelo presidente Recep Tayyip Erdogan em 8 de janeiro.
A legislação proposta concede ampla autoridade à diretoria recém-estabelecida, incluindo a capacidade de coletar e armazenar extensos dados de instituições públicas e provedores de infraestrutura crítica. O Artigo 6 permite à diretoria coletar dados de log e transferi-los para seus sistemas, aumentando os temores de vigilância desenfreada.
Além disso, o Artigo 8 permite inspeções no local e buscas privadas em casas e locais de trabalho com mínimas salvaguardas. Em casos “urgentes”, tais ações poderiam prosseguir sem aprovação judicial prévia, gerando preocupações sobre possíveis abusos e violações dos direitos à privacidade.
Termos-chave como “ameaça cibernética” e “infraestrutura crítica” permanecem vagamente definidos no texto do projeto. Críticos argumentam que essa ambiguidade pode levar a uma aplicação arbitrária e excessivamente ampla da lei, impactando desproporcionalmente indivíduos, organizações ou empresas consideradas sob essas categorias. Jornalistas e grupos da sociedade civil expressaram alarme sobre o Artigo 16, que impõe severas penalidades, incluindo prisão, por espalhar “informações falsas” sobre vazamentos de dados ou por alvejar instituições com alegações não verificadas. Eles argumentam que essa disposição poderia ser usada para silenciar denunciantes, reportagens investigativas ou vozes dissidentes sob o pretexto de proteger a cibersegurança nacional.
Sob os artigos 5 e 6, a diretoria é posicionada como a autoridade central para implementar e fazer cumprir medidas de cibersegurança. No entanto, a falta de um mecanismo de supervisão independente levanta preocupações sobre poder descontrolado. Salvaguardas judiciais parecem limitadas, particularmente com disposições que permitem coleta de dados e ações invasivas ocorrer sem revisão judicial suficiente em situações de urgência.
Outro aspecto controverso do projeto é sua provisão para compartilhamento de dados com entidades internacionais (Artigo 6). Críticos alertam que a ausência de medidas explícitas de proteção de dados pode expor informações sensíveis ao uso indevido por governos ou organizações estrangeiras.
Enquanto o projeto inclui um compromisso com os direitos humanos e o estado de direito no Artigo 4, a falta de proteções específicas para a privacidade individual e a liberdade de expressão tem atraído escrutínio significativo. Defensores das liberdades civis estão pedindo por uma abordagem mais equilibrada que aborde as preocupações de segurança nacional sem comprometer princípios democráticos.
A deputada do Partido Saadet (Bem-estar) Alev Sezen criticou fortemente o novo projeto de lei, destacando suas medidas controversas. Sezen escreveu no X que “a lei e a profissão jurídica nunca foram tão desvalorizadas como estão nesta era,” enfatizando que “a capacidade de ordenar buscas em casas e locais de trabalho, incluindo apreensão e cópia de dados, sem supervisão judicial suficiente, é um precedente perigoso” e adicionou, “Este projeto transfere poderes judiciais essenciais para uma instituição politicamente afiliada, minando a integridade do nosso sistema legal.”
A Associação pela Liberdade de Expressão também expressou fortes preocupações sobre o projeto. Em uma declaração pública em 16 de janeiro, a associação detalhou os sérios riscos que o projeto representa aos direitos humanos fundamentais, incluindo liberdade de expressão, proteção de dados pessoais e privacidade. Embora o projeto alegue fortalecer a cibersegurança nacional, ele introduz disposições reminiscentes de uma abordagem “orwelliana”, concedendo à proposta Diretoria de Cibersegurança poderes amplos e não verificados. Essas disposições correm o risco de restringir diretamente os direitos e liberdades individuais, alertou a associação.
A associação destacou que a dependência do projeto de lei em conceitos vagos, como “infraestrutura crítica” e “serviços públicos críticos”, juntamente com penalidades judiciais e administrativas desproporcionais, viola o princípio da certeza legal. A delegação de autoridade para definir esses termos à diretoria (sob o Artigo 5) enfraquece a supervisão parlamentar e pode levar a classificações arbitrárias de instituições, incluindo entidades autônomas como universidades. Essa concentração de autoridade levanta preocupações constitucionais significativas, incluindo violações do princípio da legalidade consagrado no Artigo 123 da constituição. A associação instou o parlamento a revisar substancialmente ou retirar completamente o projeto de lei para proteger os direitos fundamentais e os princípios democráticos.
A lei proposta surge num momento em que as ameaças de cibersegurança estão aumentando localmente. As preocupações com a segurança dos dados pessoais na Turquia cresceram após uma série de revelações de alto perfil e acusações crescentes de violações de bases de dados estatais. Relatórios da mídia destacaram como informações pessoais de cidadãos, incluindo dados sensíveis de bases de dados governamentais, têm sido oferecidas para venda online por preços tão baixos quanto $20 a $30. Parlamentares da oposição até apresentaram evidências documentadas no parlamento, demonstrando a ampla disponibilidade desses dados. Entre as alegações mais alarmantes estão as repetidas violações da base de dados do Conselho Supremo Eleitoral (YSK) e a alegada falta de segurança dos registros do Ministério da Saúde.
Numa demonstração impressionante dessas vulnerabilidades, o jornalista İbrahim Haskoloğlu publicou cópias de documentos de identidade supostamente pertencentes ao Presidente Recep Tayyip Erdogan e ao então líder da Organização Nacional de Inteligência (MİT), Hakan Fidan, em 2022. Haskoloğlu compartilhou as imagens nas redes sociais em 12 de abril de 2022, afirmando que foi abordado por um grupo de hackers que alegava ter roubado dados do site governamental E-devlet, onde as informações dos cidadãos são armazenadas, e de outras plataformas estatais. “Cerca de dois meses atrás, um grupo de hackers me contatou durante uma transmissão,” escreveu Haskoloğlu. “Eles alegaram ter acessado dados do E-devlet e outros sites estatais e ainda estavam vazando essas informações. Eles até compartilharam detalhes de alguns funcionários do governo comigo, incluindo novos cartões de identidade.” A exposição de Haskoloğlu chamou atenção para fraquezas sistêmicas na segurança de dados, mas também resultou em sua prisão em 19 de abril de 2022. Ele foi detido por oito dias antes de ser liberado para aguardar julgamento.
