Decorative
Glossário
Sumário
Link do título do texto

Lei de Poderes de Investigação

A Lei de Poderes Investigatórios de 2016 (IPA) é uma legislação do Reino Unido que regula o uso de poderes de vigilância e investigação por autoridades públicas, incluindo agências de inteligência, órgãos de aplicação da lei e diversos departamentos governamentais.

A Lei detalha como esses órgãos podem coletar dados de comunicações, interferir em equipamentos e interceptar comunicações com o propósito expresso de vigilância.

Apelidada de "Carta dos Bisbilhoteiros" pelos críticos, a IPA é uma Lei controversa, com muitos alegando que ela viola direitos individuais e liberdades civis. Por outro lado, seus defensores argumentam que é uma ferramenta crítica para manter a segurança nacional e combater o terrorismo.

As empresas que lidam com dados sensíveis ou de clientes devem compreender a IPA para fins de conformidade. A conformidade não é apenas uma necessidade legal, mas também constrói confiança com os clientes ao demonstrar compromisso com a proteção de dados.

A Cyera desempenha um papel fundamental ao ajudar as empresas a avaliar o risco de dados e manter a prontidão para conformidade em cenários regulatórios complexos, incluindo a IPA.

Por Que a Lei de Poderes de Investigação Foi Introduzida?

A IPA foi introduzida para modernizar as leis de vigilância do Reino Unido, que haviam se tornado obsoletas devido aos rápidos avanços na tecnologia de comunicação nas últimas décadas.

Telefones celulares, mensagens SMS, aplicativos de mensagens criptografadas, armazenamento em nuvem e navegação na internet não eram suportados pelos frameworks de segurança desatualizados que existiam na época.

As autoridades precisavam de uma legislação mais clara e abrangente para lidar com as formas modernas pelas quais as pessoas se comunicam e armazenam dados.

Antes da introdução da IPA, as atividades de vigilância eram regidas pela Lei de Regulamentação de Poderes de Investigação de 2000 (RIPA) e várias disposições da Lei de Telecomunicações de 1984.

Essas leis careciam de clareza e do escopo necessário para abranger as novas tecnologias digitais. Portanto, a IPA foi criada para consolidar e expandir essas leis legadas em uma estrutura unificada.

Essencialmente, os objetivos da IPA são:

  • Equipar as agências de aplicação da lei e inteligência com as ferramentas certas para prevenir e responder a ameaças à segurança nacional.
  • Criar mecanismos formais de autorização e supervisão, incluindo o papel do Comissário de Poderes de Investigação, para aumentar a responsabilização e garantir o uso legal dos poderes de vigilância.
  • Abordar lacunas na interceptação de dados digitais e registros de conexão à internet. Isso se concentra na interceptação de comunicações online e na retenção de registros de conexão à internet e metadados.

Disposições e Poderes Fundamentais da IPA

Deve-se entender que os poderes da IPA são amplos e abrangentes, estendendo-se a empresas do Reino Unido, residências e até mesmo entidades fora do Reino Unido.

As principais disposições da IPA são:

  • Interceptação direcionada de comunicações (com aprovação do Secretário de Estado e judicial), como chamadas telefônicas, e-mails e outros métodos.
  • Coleta em massa de metadados e conjuntos de dados pessoais, incluindo registros de indivíduos que não estão sob suspeita direta.
  • Retenção obrigatória de Registros de Conexão à Internet (ICRs) por Provedores de Serviços de Comunicação (CSPs), rastreando sites e serviços acessados pelos usuários.
  • Interferência em equipamentos (também conhecida como hacking legal), incluindo acesso remoto a computadores, telefones e redes.

Os CSPs são legalmente obrigados a apoiar investigações, inclusive por meio de Notificações de Capacidade Técnica, que podem envolver a descriptografia de dados ou a habilitação de interceptação em tempo real para auxiliar as autoridades.

Supervisão e Salvaguardas: Como a IPA é Controlada?

Dadas as amplas competências da IPA, várias camadas de supervisão foram estabelecidas para manter a responsabilização e o uso legal de suas disposições.

Os métodos de vigilância mais intrusivos estão sujeitos a um processo de aprovação de dupla trava, no qual um Secretário de Estado e um Comissário Judicial devem, cada um de forma independente, revisar e aprovar a decisão antes que ela entre em vigor.

O Comissário de Poderes de Investigação realiza auditorias regulares do uso de poderes da IPA por autoridades públicas, reportando anualmente ao Parlamento sobre questões de conformidade ou uso indevido para manter a transparência.

Proteções adicionais se aplicam ao monitorar profissões sensíveis, como jornalistas, advogados ou membros do Parlamento, para proteger direitos fundamentais como liberdade de expressão e privilégio legal.

É importante observar que, em 2024, a IPA foi atualizada para dar aos órgãos de supervisão mais flexibilidade na revisão de decisões de vigilância, acompanhando os avanços tecnológicos e as mudanças nas circunstâncias globais.

Quem Pode Acessar Dados Sob a IPA?

Aqueles que podem acessar dados sob a IPA estão principalmente envolvidos em segurança nacional, investigações criminais e aplicação da lei.

Por exemplo, as agências de inteligência do Reino Unido têm poderes investigativos, incluindo:

  • MI5: Serviço de segurança do Reino Unido
  • MI6: Inteligência secreta do Reino Unido
  • GCHQ: comunicações do governo do Reino Unido

Todas as divisões policiais do Reino Unido podem solicitar dados para auxiliar investigações criminais, assim como a Agência Nacional do Crime, um órgão central para combater o crime organizado e o cibercrime.

A HM Revenue & Customs pode solicitar dados para auxiliar investigações relacionadas à evasão fiscal e fraude aduaneira. O Home Office pode usar poderes da IPA para fiscalização de imigração e propósitos de segurança de fronteira. O Department for Work and Pensions pode acessar dados para investigar fraude de benefícios e delitos relacionados, e o Ministry of Defence requer poderes de vigilância para segurança militar, contrainteligência e proteção de ativos de defesa.

Organizações adicionais com diferentes níveis de acesso incluem a Autoridade de Conduta Financeira, o Escritório de Fraudes Graves, autoridades locais para fins específicos e vários órgãos reguladores que investigam crimes graves dentro de sua jurisdição.

Essas entidades não precisam de um mandado para acessar os ICRs. A solicitação simplesmente requer aprovação de um "oficial sênior designado" dentro da organização, e o propósito do acesso deve estar relacionado a:

  • Detectar ou prevenir crimes graves
  • Protegendo a segurança nacional
  • Localização de pessoas desaparecidas

Controvérsias e Debate Público

Embora o governo do Reino Unido considere a IPA essencial para a segurança pública, grupos de liberdades civis levantaram sérias preocupações sobre a vigilância em massa de indivíduos inocentes e o abuso de autoridade.

A principal preocupação dos críticos é a erosão de direitos fundamentais, incluindo o direito à privacidade e à liberdade de expressão.

Em 2018, o Tribunal Superior do Reino Unido decidiu que partes da Lei violavam a legislação da UE, especialmente no que diz respeito ao acesso a dados de comunicações retidos sem aprovação.

Como resultado, a Lei foi alterada para cumprir com os padrões legais. Desde que o Reino Unido saiu da UE em 2020, essas alterações foram parcialmente revertidas, causando mais preocupação.

A reação pública generalizada contra a Lei resultou em petições por reforma ou revogação, investigações da mídia e campanhas de grupos da sociedade civil que defendem mais transparência e supervisão.

Por outro lado, os defensores da Lei afirmam que a IPA aumenta a transparência e a supervisão das práticas que ocorrem sob as leis anteriores, argumentando que ela equipa as autoridades para proteger a sociedade em uma era digital onde as ameaças são cada vez mais complexas.

Alterações Recentes: O Que Mudou em 2024?

Em 2024, o IPA passou por outra reforma e introduziu várias atualizações significativas. Estas incluíram:

  • Novos requisitos de notificação para empresas de tecnologia, como provedores de rede e serviços de comunicação. Elas agora devem notificar o governo do Reino Unido antes de introduzir certas mudanças em seus serviços, especialmente se afetarem sua capacidade de cumprir solicitações sob a IPA.
  • Os provedores de comunicação devem notificar o IPC sobre quaisquer violações de dados pessoais.
  • As agências de inteligência agora têm poderes ampliados que incluem acesso mais amplo a conjuntos de dados em massa, especialmente onde os indivíduos têm uma expectativa baixa ou nenhuma expectativa de privacidade. Por exemplo, dados que já são públicos ou facilmente disponíveis.
  • Os poderes expandidos também incluem acesso mais amplo aos ICRs.

É importante destacar que houve um esclarecimento de que empresas estrangeiras que atendem usuários do Reino Unido são consideradas "operadoras de telecomunicações" e agora estão sujeitas aos requisitos de conformidade da IPA, independentemente de onde estejam sediadas.

Outras emendas geraram preocupação generalizada, particularmente sobre o seguinte:

  • A remoção da salvaguarda de dupla autorização em certos casos.
  • Supervisão judicial reduzida de certas ordens ou notificações emitidas pelo governo.
  • Uma alta concentração de poder é dada ao Secretário de Estado, potencialmente reduzindo a responsabilização.

Por Que Empresas e Equipes de Segurança Devem Se Preocupar?

O IPA impacta diretamente qualquer empresa que lida com dados e comunicações digitais. Como a conformidade é obrigatória, todas as organizações precisam estar preparadas caso sejam solicitadas a fornecer acesso a informações sob o IPA.

As empresas podem ser obrigadas a:

  • Auxiliar ou entregar dados sensíveis. Isso inclui interceptar comunicações, divulgar dados armazenados e instalar tecnologias de vigilância.
  • Equilibre as demandas de IPA com as obrigações de conformidade de segurança de dados sob a GDPR e outras leis globais, criando complexidade em torno da manutenção da conformidade.
  • Gerencie riscos reputacionais e operacionais caso os clientes tomem conhecimento de quaisquer práticas de vigilância, especialmente provedores de tecnologia e nuvem.
  • Mantenha visibilidade clara dos fluxos de dados e riscos de terceiros por meio de controles e auditorias automatizados.

Melhores Práticas para Organizações que Navegam pelos Requisitos de IPA

Para operar em conformidade com a IPA, as organizações devem gerenciar proativamente o risco de dados e os requisitos legais da Lei.

Confiar em medidas reativas não é suficiente. Em vez disso, as empresas devem implementar processos consistentes apoiados por ferramentas que promovam a governança de dados e a preparação para auditorias.

Esses processos incluem:

  • Realizar avaliações regulares de risco de dados para mapear dados sensíveis.
  • Manter uma governança clara sobre criptografia, controles de acesso e solicitações de acesso legal.
  • Manter uma trilha de auditoria das atividades de conformidade.
  • Educar a equipe sobre as obrigações de tratamento de dados e procedimentos de escalação.
  • Monitoramento contínuo e adaptação às mudanças nas regulamentações do Reino Unido, da UE e globais.

Usar uma plataforma de segurança de dados como a Cyera simplifica a conformidade ao automatizar a classificação de dados, monitorar pontos de acesso e rastrear a atividade do usuário em tempo real.

Os painéis de conformidade centralizados sinalizam riscos e prontidão para auditoria, enquanto a aplicação de políticas alinhadas com as obrigações da IPA está incorporada ao sistema.

Como a Cyera Apoia Organizações que Enfrentam Desafios de IPA

Com o sistema certo em vigor, lidar com os requisitos de IPA é significativamente mais fácil.

A Cyera foi criada para:

  • Classifique, governe e proteja dados confidenciais em ambientes de nuvem e híbridos.
  • Forneça visibilidade sobre solicitações de acesso e movimentações de dados de terceiros.
  • Automatize o monitoramento de conformidade e alertas para possíveis violações.
  • Equipe as equipes com ferramentas para construir estruturas de conformidade adaptáveis e resilientes.

Com a Cyera, as organizações ganham a capacidade e o controle necessários para responder com confiança aos requisitos de IPA sem comprometer a segurança dos dados ou os padrões operacionais.

Transforme Privacidade e Conformidade em Vantagem Competitiva

Não é suficiente simplesmente estar ciente do IPA e de outras estruturas regulatórias e de conformidade.

As organizações precisam adotar uma postura proativa e implementar sistemas que atendam aos padrões atuais enquanto se adaptam às mudanças regulatórias.

Convidamos você a experimentar as soluções da Cyera para privacidade, segurança e conformidade em primeira mão.

Agende uma demonstração hoje e execute uma avaliação de risco de dados gratuita para ver como sua organização pode se beneficiar de uma abordagem proativa para conformidade.

Analise este artigo com IA:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Termos Relacionados

Nenhum item encontrado.