A versão mais recente do projeto de lei C-22 em curso no Canadá provocou mais uma vez uma reação negativa das empresas globais de tecnologia sobre as tentativas do governo de “construir vigilância” na infraestrutura da Internet. O projeto de lei pretende exigir que vários provedores de serviços digitais retenham metadados de usuários por um longo período e forneçam às agências de aplicação da lei canais de “acesso legal”. Algumas empresas que têm a proteção da privacidade como principal argumento de venda declararam publicamente que prefeririam retirar-se do mercado canadense a cooperar com a fiscalização.

De acordo com o texto público atual, o “Projeto de Lei C-22” abrangerá provedores de serviços de Internet, plataformas de mensagens instantâneas, serviços de e-mail, podendo até afetar fabricantes de hardware, obrigando-os a reter informações de metadados dos usuários por até um ano. Ao mesmo tempo, as empresas relevantes devem também estabelecer mecanismos técnicos que permitam às autoridades responsáveis ​​pela aplicação da lei obter esta informação de acordo com a lei durante as investigações criminais. Os críticos acreditam que isto equivale essencialmente a o governo forçar as empresas a reservar "backdoors" no sistema, alterando fundamentalmente os limites de privacidade e segurança dos serviços de Internet.

Testemunhando perante o Comitê Permanente de Segurança Pública e Segurança Nacional da Câmara dos Representantes do Canadá, o executivo da Signal, Udbhav Tiwari, disse que o projeto de lei C-22 transformaria as ferramentas digitais que as pessoas usam todos os dias em uma vasta rede de vigilância. Ele ressaltou que forçar as empresas a reter metadados das comunicações dos usuários é completamente contrário às práticas de longa data de proteção de privacidade da Signal. A posição da Signal é que, se esta legislação for aprovada, será difícil para a empresa continuar a operar no Canadá sem sacrificar os seus principais compromissos de privacidade.

DuckDuckGo, uma empresa de pesquisa e serviços da web com foco na privacidade, também enviou um sinal semelhante. Seu porta-voz confirmou que assim que o projeto de lei C-22 for aprovado, a empresa removerá seus serviços VPN no Canadá. O conhecido provedor de VPN NordVPN e outros provedores de serviços semelhantes também declararam que não descartarão a opção de sair do mercado canadense para evitar serem forçados a participar na construção de mecanismos de retenção e acesso de metadados.

Grandes empresas de plataforma também têm reservas ou mesmo oposição ao projeto. A Apple e o Google juntaram-se às advertências da indústria de que a legislação poderia forçá-los a enfraquecer as medidas de criptografia existentes. Já no ano passado, a Apple bloqueou com sucesso uma proposta semelhante no Reino Unido que teria criado um backdoor acessível ao governo para o iCloud. Este incidente é apenas o mais recente de uma série de conflitos entre a Apple e agências reguladoras em vários países sobre segurança e privacidade do usuário. Também destaca o jogo de longo prazo entre empresas e governos na questão “segurança versus privacidade”.

A principal preocupação dos opositores é que, uma vez instalada artificialmente uma “porta dos fundos” num sistema digital, independentemente de a sua intenção original se limitar à aplicação da lei ou a fins de segurança nacional, ela acabará por ser descoberta e explorada por intervenientes maliciosos. A organização civil OpenMedia descreveu o projeto de lei C-22 como uma tentativa de criar um “estado de vigilância” e citou um caso no final de 2024 como prova. Naquela altura, hackers alegadamente apoiados pelo governo chinês invadiram os sistemas utilizados por vários operadores de comunicações dos EUA para vigilância policial legal e roubaram uma grande quantidade de dados sensíveis de empresas como AT&T, Verizon e Lumen Technologies, mostrando que o próprio sistema de "vigilância legal" também pode tornar-se um alvo de ataque de alto valor.

Enfrentando o ceticismo da indústria e da sociedade civil, o Ministro da Segurança Pública do Canadá, Gary Anandasangaree, disse na semana passada que o projeto de lei C-22 seria alterado para deixar claro que os provedores de serviços digitais não seriam obrigados a quebrar a criptografia de ponta a ponta. No entanto, também enfatizou que a obrigação de retenção de metadados ainda permanecerá, o que também é um dos principais focos da disputa atual.

Controvérsias em torno de “backdoors” surgiram recentemente com frequência em outros campos. Um pesquisador de segurança acusou recentemente a Microsoft de deixar deliberadamente um backdoor em seu sistema de criptografia BitLocker e tentou silenciar o problema depois que o pesquisador levantou questões. Depois que os detalhes da vulnerabilidade foram divulgados, a Microsoft lançou urgentemente uma atualização de mitigação temporária, mas ainda não respondeu diretamente se a falha foi um erro de design ou intencional. Para os críticos, tais incidentes aprofundam as preocupações públicas sobre a linha entre o “acesso legítimo” e as “portas dos fundos técnicas”, tornando mais difícil ganhar confiança em propostas legislativas como o projecto de lei C-22.