O Reddit, site fundado e sediado nos Estados Unidos, 36º site mais visitado do mundo, removeu no dia 31 de março sua declaração canária de seu Relatório Anual de Transparência (2015).
No relatório de transparência anterior, o Reddit afirmava que não havia recebido nenhuma NSL - National Security Letter, uma ordem FISA (Foreign Intelligence Surveillance Act) ou uma outra ordem secreta. Tais ordens têm sido utilizadas pelas agências de vigilância contra serviços online para obrigar a entrega de informações sensíveis dos usuários de tais serviços.
A nota publicada em seu relatório afirmava que:
"Em 29 de Janeiro de 2015, Reddit nunca recebeu uma Carta de Segurança Nacional, uma ordem sob o Foreign Intelligence Surveillance Act ou qualquer outro pedido secreto de informações do usuário. Se nós recebermos tal pedido, nós buscaríamos deixar o público saber sobre sua existência.
Reddit apoia a reforma dos programas de vigilância do governo e faz parte de outros 86 grupos signatários de uma carta aberta para o Congresso em 2013." Fonte: reddit transparency report 2014
Após a remoção desse trecho do seu novo relatório de transparência, questionado por usuários dessa rede social, o fundador do Reddit, spez afastou a hipótese de que poderia ter ocorrido um descuido ou alarme falso ao responder que havia sido "aconselhado a não dizer nada" sobre o caso. Em geral, as cartas de segurança nacional e ordens secretas são acompanhadas de uma "gag order" (ordem de mordaça) que impedem que o destinatário da carta comente sobre o assunto. Essas ordens não passam por avaliação ou aprovação do poder judiciário, sendo emitidas diretamente pelas próprias agências de vigilância, como o FBI.[1]
A declaração canária é um "mecanismo para testar condições não seguras, originado do uso de canários nas minas de carvão para detectar gases venenosos ou desmoronamentos. Caso o canário morresse, era hora de sair da mina. Recentemente, o termo tem sido empregue por alguns provedores de serviço online para se referir a uma declaração afirmativa, atualizada regularmente, que o provedor não foi submetido a certos processos legais. Se essa declaração canária não for atualizada em tempo esperado, os usuários devem inferir que a declaração canária não é mais verdadeira." Riseup - Canary Statement
Cogita-se que o sumiço da declaração canária do Reddit pode estar ligado com a recente mudança na política de privacidade do site, ocorrida em janeiro de 2016, a qual ampliou a retenção de dados dos usuários como, por exemplo, no aumento do período de manutenção dos logs dos IPs, de 90 para 100 dias[2].
Observatório Canário
Após a onda de revelações do ex-analista da NSA, Edward Snowden, e a crescente quantidade de Cartas de Segurança Nacional emitidas pelo FBI, organizações como a Electronic Frontier Foundation - EFF, o Instituto Calyx e Berkman Center for Internet and Society de Harvard fundaram o projeto Canary Watch para incentivar e monitorar as declarações canárias que passaram a surgir ao longo dos anos.
A legalidade de uma declaração canária é baseada na Primeira Emenda da Constituição dos EUA. Como é afirmado no Canary Watch, "felizmente, a Primeira Emenda protege contra o discurso coercitivo na maioria dos casos. Na verdade, nós não estamos cientes de nenhum caso em que a corte sustentou um falso discurso coercitivo. Desse modo, um provedor de serviço pode argumentar que, quando sua declaração sobre não ter recebido um processo legal passa a não ser mais verdadeiro, ele não é obrigado a emitir uma nova declaração, agora, falsa, e pode, assim, permanecer em silêncio." - Canary Watch
Dessa forma, o Canary Watch agrega e mostra aos usuários se uma determinada canária ainda é válida ou, em outras palavras, se um provedor recebeu uma ordem secreta. O Reddit é o primeiro caso confirmado do funcionamento de uma declaração canária.
Outros passarinhos
O maior provedor de comunicação segura para ativistas, o Coletivo Riseup, mantém regularmente uma canária afirmando que o coletivo não recebeu nenhuma ordem ou carta de segurança nacional. Assim como nunca inseriu nenhum backdoor em seus equipamentos ou softwares. E, ainda, que o Riseup nunca entregou as comunicações de nenhum usuário para terceiros. A declaração canária do Riseup é atualizada trimestralmente e assinada criptograficamente.
NOTA
[1] Embora poucos tenham ciência, desde 2013, o Brasil possui um dispositivo jurídico semelhante na Lei da Organização Criminosa - LEI Nº 12.850, DE 2 DE AGOSTO DE 2013.
[2] A título de comparação, o artigo 15 do Marco Civil prevê a retenção de logs por seis meses.