Projeto de Lei C-22 do Canadá torna obrigatória a vigilância em larga escala de metadados dos canadenses

 (michaelgeist.ca)
1 pontos por GN⁺ 2026-03-16 | 1 comentários | Compartilhar no WhatsApp
  • O governo do Canadá apresentou o Projeto de Lei C-22, a Lei de Acesso Legal (Lawful Access Act), reforçando a obrigação de cooperação com vigilância e interceptação por parte de operadoras de telecomunicações e provedores de internet (ISPs)
  • Embora o novo projeto reduza bastante os poderes de acesso a informações sem mandado, ele ainda inclui a obrigação de construir infraestrutura de vigilância de redes e de retenção de metadados, mantendo sérios riscos à privacidade
  • O projeto é composto por duas partes: a primeira trata da melhoria dos procedimentos de acesso a dados, e a segunda define requisitos de tecnologia de vigilância por meio da Lei de Assistência ao Acesso de Informações Autorizado (SAAIA)
  • A SAAIA introduz o conceito de “provedor de serviços eletrônicos (ESP)”, ampliando o escopo regulatório para incluir plataformas globais como Google e Meta, além de exigir retenção de metadados por até 1 ano
  • Mesmo com alguma limitação do acesso sem mandado, as cláusulas de ampliação da capacidade de vigilância e de sigilo mantêm as preocupações com enfraquecimento da segurança de rede e violação de liberdades civis

Visão geral do Projeto de Lei C-22

  • O Projeto de Lei C-22 (Lawful Access Act) é uma nova proposta legislativa do governo canadense relacionada à vigilância, apresentada como uma versão revisada da controversa Lei C-2
    • A C-2 permitia acesso sem mandado a informações pessoais, o que gerou controvérsia constitucional
    • Em resposta, o governo removeu as disposições de acesso da C-2 e apresentou o C-22 em um projeto separado
  • O C-22 trata de duas áreas centrais
    • os procedimentos de acesso por autoridades policiais a informações pessoais mantidas por operadoras de telecomunicações (ISPs, operadoras móveis etc.)
    • a construção de capacidade de vigilância e monitoramento nas redes de telecomunicações do Canadá

Mudanças nos procedimentos de acesso a dados

  • O novo projeto elimina o antigo amplo poder de exigir informações sem mandado e o substitui pelo “pedido de confirmação de serviço (confirmation of service)”
    • a polícia só pode solicitar confirmar se uma determinada pessoa é cliente daquela operadora
    • qualquer acesso adicional a informações pessoais exige aprovação judicial (ordem de produção)
  • Essas mudanças limitam o escopo de exigências sem mandado às operadoras e passam a exigir supervisão judicial para o acesso a dados pessoais
  • O projeto também inclui disposições separadas para fornecimento voluntário de informações, situações de emergência e pedidos de autoridades estrangeiras
    • ainda assim, o padrão mais baixo de “motivos razoáveis para suspeitar (reasonable grounds to suspect)” continua sendo apontado como motivo de preocupação

Principais pontos da SAAIA (Lei de Assistência ao Acesso de Informações Autorizado)

  • A segunda metade do projeto, a SAAIA, impõe às operadoras de telecomunicações a obrigação de criar capacidade de vigilância e monitoramento
    • elas devem cooperar para que o governo e as autoridades policiais possam testar o acesso à rede de telecomunicações e as funções de interceptação
    • todos os pedidos estão sujeitos a obrigação de sigilo
  • O texto introduz uma nova definição de “provedor de serviços eletrônicos (ESP)”
    • inclui qualquer provedor de serviços eletrônicos que ofereça serviços ou realize negócios no Canadá
    • isso pode incluir plataformas globais como Google e Meta
  • Empresas designadas como provedores centrais (core providers) terão obrigações adicionais
    • criar e manter funções de vigilância, instalar e operar equipamentos, notificar o governo e reter metadados por até 1 ano

Retenção de metadados e exceções

  • A obrigação de retenção de metadados é uma cláusula nova, ausente na C-2 e adicionada no C-22
    • porém, conteúdo de comunicações, histórico de navegação na web e atividade em redes sociais ficam excluídos da retenção
  • Existe uma exceção relacionada a vulnerabilidade sistêmica (systemic vulnerability)
    • se uma função de vigilância criar uma vulnerabilidade de segurança ou impedir sua correção, a empresa não precisa cumprir essa exigência
  • Mesmo assim, há preocupação de que essa exceção não seja suficiente para evitar o enfraquecimento da segurança
    • também foi apontada a possibilidade de que mudanças sejam implementadas em sigilo, sem divulgação pública

Preocupações com vigilância, segurança e compartilhamento internacional de dados

  • A SAAIA levanta diversos problemas, incluindo vulnerabilidades de segurança de rede, sigilo, custos e estrutura de supervisão
  • Algumas disposições são analisadas como voltadas à cooperação internacional de compartilhamento de informações com o Segundo Protocolo Adicional (2AP) da Convenção de Budapeste e a CLOUD Act dos Estados Unidos
  • Em resultado, avalia-se que o Projeto de Lei C-22, embora restrinja o acesso sem mandado, ainda mantém alto risco de violação de privacidade e de liberdades civis devido ao fortalecimento da infraestrutura de vigilância e à coleta em larga escala de metadados

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-16
Opiniões do Hacker News

  • Fico pensando se não valeria criar um agente de monitoramento que, sempre que um novo projeto de lei fosse apresentado, enviasse alertas automáticos imediatamente aos parlamentares e à oposição para impedir que políticos continuem propondo repetidamente projetos que violam a privacidade

  • Pelo texto do projeto, é necessário um mandado judicial (warrant). Mas, olhando a cláusula adicionada, o juiz pode decidir que, “se considerar justificado em determinadas circunstâncias”, não é preciso entregar uma cópia do mandado à parte envolvida. Isso parece uma brecha subjetiva que pode contornar as liberdades civis

    • Não vejo um grande problema nessa cláusula. De qualquer forma, o juiz ainda precisa emitir o mandado, e isso só cria uma exceção para adiar a entrega da cópia. Quase não haveria casos em que a polícia diria “temos um mandado, mas não precisamos mostrar”, e, se isso acontecesse, é bem provável que a prova nem fosse aceita em tribunal
    • Juízes não vão autorizar isso sem motivo. Pode até borrar um pouco os limites da lei, mas não parece algo gravíssimo. O Canadá tem uma tendência burocrática forte, centrada em leis e procedimentos, mais parecida com a Europa, então o sistema pode até se desviar, mas é um problema de outra natureza, diferente de ditadura política ou descontrole institucional

  • Resumo para quem está com pressa: o Bill C‑22 (2026) do Canadá altera a lei para permitir que autoridades investigativas acessem dados digitais com mais rapidez e clareza. Ele amplia os poderes para obter informações de assinantes, dados de transmissão e dados de rastreamento de operadoras, provedores de serviços online e empresas estrangeiras, e cria um arcabouço legal para que provedores de serviços eletrônicos deem suporte às investigações

    • Mas o resumo omitiu a parte de sem mandado judicial (warrantless). O motivo de o governo estar buscando esses poderes é que o Canadá é o único país do grupo Five Eyes que ainda não os tem
    • Isso parece uma versão canadense, similar à CALEA (Communications Assistance for Law Enforcement Act), dos EUA

  • A cooperação entre os países Five Eyes (ou 9, 14 Eyes) vem desde a Guerra Fria, mas não foi atualizada para as atuais mudanças geopolíticas e tecnológicas. Pior: à medida que essa cooperação se intensifica, os eleitores passam a duvidar do futuro da aliança com os EUA. Gostaria que os líderes de cada país fossem mais francos sobre pressões externas. Ficar em silêncio sobre a influência de aliados e criticar só a de países não aliados é uma ameaça à democracia

    • Dizem que há “silêncio”, mas o primeiro-ministro do Canadá já falou publicamente sobre mudanças na relação com os EUA e chegou a buscar um novo acordo diplomático
    • Romper relações com os EUA seria uma escolha tão tola quanto a do Trump ao romper com a Europa

  • Pelo texto do projeto, isso parece semelhante aos poderes de acesso legal que os órgãos de segurança de outras democracias ocidentais já têm. Sem imaginar um cenário distópico exagerado, eu queria entender exatamente qual é o problema

  • O projeto diz que “não concede novos poderes”, mas, na prática, afirma claramente que quem não armazenar metadados por até 1 ano pode receber multa ou pena de prisão

  • Como cidadão canadense, me frustra ver o governo insistindo em projetos de vigilância que já foram rejeitados várias vezes.
    Não entendo por que querem ligar uma infraestrutura nacional de vigilância diretamente ao backbone dos ISPs.
    Isso não é diferente de a polícia me seguir sem qualquer suspeita e registrar com quem falo e em que horário.
    Além disso, se esses dados forem armazenados por contratadas privadas, o risco de vazamento ou de ação civil aumenta.
    Pelo projeto, aparece um novo termo, “electronic service provider”, o que parece ter sido pensado para incluir não só operadoras, mas também plataformas como Google e Meta.
    A Suprema Corte do Canadá já demonstrou posição negativa em relação ao fornecimento de dados pessoais sem mandado judicial.
    Se os poderes investigativos já existentes bastam, por que transformar plataformas em agentes auxiliares de investigação?
    Esse tipo de sistema parece coisa de Estado autoritário, com risco alto demais de abuso e nocivo à democracia

    • Medidas assim também podem ser uma preparação para políticas impopulares que surjam nos próximos dez anos. Seria uma forma de montar desde já a base para rastrear opositores em massa

  • Diferente de outros países, nem usam justificativas como “proteção infantil” ou “verificação de idade”; o governo canadense simplesmente toca, às claras, um sistema de vigilância em massa. Nesses momentos, até surpreende como conseguem ser rápidos sem burocracia

  • Em apenas duas horas desde a publicação, quase metade dos comentários já estava sendo criticada por reações extremadas.
    É decepcionante continuarem empurrando esse tipo de lei de vigilância com a desculpa de “vai que precisa”.
    Seria melhor deixar que os próprios hosts moderem o conteúdo público, embora isso também traga efeitos colaterais, como a dúvida sobre que tipo de conteúdo deveria ser reportado

  • Governos que antes se orgulhavam de liberdade e devido processo agora parecem estar se transformando em regimes de vigilância que encarceram os próprios cidadãos