Como as jurisdições de VPNs afetam você?

“Jurisdição” de uma VPN é o país em que a empresa foi legalmente estabelecida ou constituída. O sistema jurídico desse país afeta as leis e regulamentações de privacidade que a VPN deve respeitar.

O nível de vigilância e controle dos governos sobre o uso da internet varia conforme o país. Uma jurisdição invasiva ou perigosa pode obrigar uma VPN a monitorar, coletar ou compartilhar dados sobre seus usuários.

Servidores VPNs estão sujeitos à jurisdição do país em que estão fisicamente localizados. As autoridades desse país têm autoridade legal para apreender o servidor e investigá-lo para procurar dados.

No entanto, embora essas autoridades possam apreender o servidor, elas não podem obrigar a empresa da VPN a compartilhar informações, pois a sede é em outro país. É por isso que a política de log de uma VPN é tão importante quanto uma boa jurisdição.

Dependendo do nível de regulamentação da internet do seu país, talvez seja melhor escolher uma VPN localizada em outro lugar.

Também é sensato escolher uma jurisdição que tenha leis de privacidade rigorosas e não participe de acordos internacionais de compartilhamento de dados.

Se você usa uma VPN para fins de privacidade, é porque acredita que não se pode confiar em todos, sejam os sites que você visita ou o governo.

Uma VPN com sede em uma jurisdição invasiva é apenas outra parte em que não se deve confiar. A VPN pode ser forçada a entregar às autoridades informações de usuários, que podem ser compartilhadas com outros países com base em acordos de compartilhamento de inteligência.

Se algum desses locais estiver sujeito a leis invasivas, eles podem estar suscetíveis a buscas injustificadas e comprometimentos de privacidade em nome da “segurança”.

Ainda que seja importante, a jurisdição é apenas um dos muitos fatores a serem considerados na escolha da VPN. A importância dela depende do nível de proteção que você precisa.

Se o objetivo for se proteger contra a vigilância direcionada, usar uma VPN em uma jurisdição segura dificilmente será o suficiente. As agências nacionais de inteligência têm acesso a inúmeros recursos. Se você se tornar um alvo de monitoramento, vai ter de se preocupar com mais do que apenas a jurisdição da VPN.

Confiança também é um fator importante. Uma VPN pode mentir para os clientes e cooperar com as autoridades, mesmo que atue em uma jurisdição “segura”.

Essencialmente, para proteger a sua privacidade online, a localização dos servidores que usa e as práticas da empresa que os controla provavelmente serão mais importantes do que o local de constituição da empresa.

Apesar disso, a jurisdição da VPN ainda é relevante se a sua preocupação for realmente com a privacidade. Você pode estar vulnerável às seguintes questões:

Vigilância e retenção de dados

Além da infraestrutura habitual de vigilância, as agências nacionais de inteligência, como a NSA e o serviço de inteligência GCHQ, têm o poder de obrigar organizações nacionais a registrar, compartilhar e descriptografar informações privadas.

Nos Estados Unidos, a Lei Patriótica introduziu novos poderes federais de coleta de dados por meio do uso de cartas de segurança nacional. Essas leis conferem às autoridades o poder de coagir uma empresa legítima a se tornar uma ferramenta de coleta de dados para agências estatais.

Essas solicitações podem ser acompanhadas de uma ordem de silêncio que proíbe a empresa de divulgar o que está sendo obrigada a fazer. Algumas empresas de VPN publicam Warrant Canaries na tentativa de contornar esse problema, algo que vamos comentar mais adiante.

Há precedentes disso. Em 2013, o serviço de e-mail seguro Lavabit foi alvo do FBI, que tentava reunir informações sobre Edward Snowden.

A Lavabit foi intimada com uma ordem de silêncio a fornecer chaves de criptografia de conteúdo de e-mail dos usuários, o que permitiria que o FBI acessasse em tempo real comunicações de todos os clientes da Lavabit, não apenas de Snowden.

O fundador, Ladar Levison, forneceu as chaves de criptografia da empresa, mas, simultaneamente, interrompeu o serviço. As autoridades dos Estados Unidos começaram a ameaçar Levison de prisão, argumentando que a medida violou a ordem judicial.

Da mesma forma, o Riseup VPN, com sede em Seattle, foi obrigado a coletar dados de usuários para autoridades governamentais e recebeu uma ordem de silêncio para que não pudesse revelar isso aos usuários.

O HideMyAss, um provedor de VPN com sede no Reino Unido, também recebeu uma ordem judicial para coletar dados e compartilhá-los com autoridades em uma investigação criminal, o que foi revelado apenas depois da acusação formal.

Estes são apenas exemplos de casos que vieram a público. É bem provável que existam outros que desconhecemos.

Acordos de compartilhamento de dados

Acordos internacionais de vigilância, como as Alianças Cinco, Nove e 14 Olhos, permitem que os países integrantes usufruam, nas palavras da EFF, “do menor denominador comum de privacidade”.

Em outras palavras, os países do acordo se beneficiam dos dados de vigilância em massa obtidos pelos outros membros.

As práticas de compartilhamento de inteligência desses países têm consequências abrangentes, especialmente para usuários de internet e de VPNs. Podemos supor que, se qualquer um desses países tiver acesso aos seus dados, eles poderão ser compartilhados com outros.

Se um desses países aprovar uma lei que amplia a vigilância eletrônica, é como se a mesma legislação fosse aprovada em todos os países integrantes do acordo.

Isso significa que há uma grande probabilidade da sua atividade ser coletada e compartilhada com uma agência de inteligência, independentemente da sua localização no mundo.

Servidores com localizações virtuais e servidores alugados

Algumas VPNs alugam servidores de data centers para reduzir custos operacionais. É muito mais barato operar uma rede internacional de servidores do que realmente ser proprietário dos servidores.

O provedor de VPN consegue assim reduzir as despesas, mas isso pode comprometer a privacidade.

Servidores VPN alugados pertencem ao data center proprietário, que pode manter logs da sua atividade, independentemente da política de log da empresa de VPN.

Dependendo da jurisdição do data center, as autoridades locais também podem obrigar o host do servidor a reter ou compartilhar dados do usuário.

Nesse caso, a política de log e a jurisdição da empresa de VPN de nada servem. As autoridades locais podem ir diretamente ao host do servidor para obter as informações de que precisam.

Se a sua preocupação for coma privacidade, recomendamos que escolha uma VPN sediada fora dos países integrantes das Alianças Cinco Olhos, Nove Olhos e 14 Olhos.

Os países integrantes dessas alianças tendem a participar de programas invasivos de vigilância, retenção de dados e coleta de informações.

Também é provável que as nações mais poderosas dessas alianças tenham a capacidade de obrigar outros integrantes a manter logs ou outras formas de cooperação.

O que é um paraíso da privacidade?

Geralmente, o recomendável é escolher uma VPN estabelecida em um país considerado um “paraíso da privacidade”.

Um paraíso da privacidade é um país com um ambiente jurídico e político em que se respeita a ideia de privacidade online. Esses países raramente participam de acordos que incluem vigilância, retenção de dados ou compartilhamento de dados obrigatórios e, geralmente, têm algumas das leis de privacidade mais robustas do mundo.

Ainda que esses países não sejam obrigados a compartilhar dados de usuários com autoridades internacionais, eles também não têm as regulamentações necessárias para garantir a proteção adequada aos dados dos usuários, o que significa que você poderá estar sacrificando a segurança em prol da privacidade.

As Ilhas Virgens Britânicas, Panamá, Seychelles, Ilhas Cayman e Malásia são alguns dos países considerados paraísos da privacidade.

Muitas empresas de VPN tem a sede nesses países para garantir que o serviço permaneça o mais privado e seguro possível. Alguns exemplos são a ExpressVPN, NordVPN, Astrill e Surfshark.

Existem também algumas VPN que são comprovadamente confiáveis, apesar de atuarem em uma jurisdição “perigosa”. A Private Internet Access (PIA), por exemplo, não forneceu dados ao governo dos Estados Unidos em um processo judicial oficial, apesar de ter sido intimada.

Há também algumas VPNs sem logs que foram testadas por situações reais ou que passaram por auditoria externa. Uma VPN em uma jurisdição segura no exterior simplesmente oferece proteção adicional, pois há menos chances de ser obrigada a fornecer dados às autoridades.

As VPNs precisam de um Warrant Canary?

Warrant Canary, ou canário de garantia, é o nome popular para uma declaração, constantemente atualizada, que tem como propósito provar que um provedor de serviços não foi contatado por uma agência governamental nem obrigado a compartilhar dados de usuários.

No geral, solicitações de dados, como uma “Carta de segurança nacional dos Estados Unidos” (NSL), vêm com uma ordem de silêncio que impede a empresa visada de divulgar que foi comprometida.

 

O objetivo do Warrant Canary é contornar essas restrições legais e alertar os usuários de que seus dados podem não estar mais seguros, sem tecnicamente violar a ordem judicial.

Normalmente, os Warrant Canaries informam os usuários de que não houve um mandado emitido na justiça, uma ordem de silêncio ou uma intimação até uma determinada data.

Se o Warrant Canary não estiver atualizado ou se tiver sido completamente removido, os usuários presumem que uma ordem de silêncio entrou em vigor e o host foi intimado judicialmente.

Muitas VPNs mantêm uma página de Warrant Canary para convencer usuários de que são confiáveis.

No entanto, o simples fato de um provedor de VPN manter um Warrant Canary não significa que o serviço seja privado ou seguro. Da mesma forma, muitos serviços confiáveis e respeitáveis não publicam um Warrant Canary por uma questão de princípio, já que não há um consenso entre especialistas.

Alguns argumentam que os governos podem coagir empresas a manter um Warrant Canary, ainda que tenham sido comprometidas, o que o torna inútil.

Também é possível que um serviço comprometido decida não atualizar o Warrant Canary para não perder clientes. Sendo assim, muitos Warrant Canaries nada mais são do que estratégia de marketing de empresas que, na realidade, não se importam com a privacidade do usuário.

Infelizmente, não há como ter certeza se uma alteração no Warrant Canary é um indicador real de uma ordem judicial. Os usuários são obrigados a especular o que a remoção ou alteração de um Warrant Canary significa.

Recomendamos que pense no Warrant Canary como um recurso adicional de uma VPN confiável, em vez de procurar especificamente uma VPN que o ofereça.

Quando a maioria das pessoas pensa em vigilância em massa, elas lembram da NSA. Na verdade, quase todos os países têm uma agência de inteligência de sinais (“SIGINT”, na sigla em inglês).

Essas agências atuam na aplicação da lei, coleta de dados e contrainteligência, interceptando sinais eletrônicos e comunicações online. Além disso, elas tipicamente cooperam entre si.

As Alianças Cinco, Nove e 14 Olhos são três dos acordos internacionais de inteligência mais significativos que realizam esse tipo de vigilância coordenada. Também são as piores jurisdições de VPN em termos de privacidade.

 

Segue uma lista das principais entidades globais de vigilância que precisam ser conhecidas:

1. A Aliança Cinco Olhos

 

Os países da Aliança Cinco Olhos são Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia.

Esse acordo de compartilhamento de inteligência data da Segunda Guerra Mundial e remonta ao acordo UKUSA, que era originalmente uma parceria entre Estados Unidos e Reino Unido.

Nas últimas décadas, o tratado expandiu em integrantes e alcance. Os países membros, conhecidos como Aliança Cinco Olhos, agora cooperam na coleta, análise e compartilhamento de informações de inteligência, nacional e internacionalmente.

Embora os países da Aliança Cinco Olhos tenham concordado em não espionar uns aos outros como adversários, documentos vazados por Edward Snowden revelaram que as nações monitoram cidadãos umas das outras e compartilham essa inteligência entre si.

Além de compartilhar dados de vigilância entre si, os países da Aliança Cinco Olhos também cooperam no envio e na fiscalização de avisos de retenção de dados. Ou seja, um país pode pressionar um terceiro para que forneça logs de usuários de uma VPN sob a jurisdição desse outro país.

Não é de se surpreender que muitos dos países da Aliança Cinco Olhos estejam entre os que mais violam a privacidade digital.

Se a sua preocupação for com a privacidade ao usar uma VPN, os países da Aliança Cinco Olhos são considerados as piores jurisdições possíveis.

Sistema de vigilância ECHELON

Os países da Aliança Cinco Olhos utilizam a ECHELON, uma rede de estações de espionagem voltada para a vigilância e coleta de dados globais.

A ECHELON pode interceptar dados enviados por telefones, aparelhos de fax e computadores. As estações da ECHELON podem rastrear contas bancárias e até interceptar dados enviados entre retransmissores de satélite. Todos esses dados são armazenados em extensos bancos de dados que podem manter milhões de registros pessoais.

Apesar das evidências só terem aumentado nos últimos 30 anos, os Estados Unidos continuam a negar a existência da ECHELON, enquanto o governo do Reino Unido se mantém evasivo.

Ainda que os governos neguem a alegação, vários whistleblowers comprovaram a verdade com documentos certos aspectos do projeto ECHELON.

2. A Aliança Nove Olhos

 

A Aliança Nove Olhos é uma extensão da Aliança Cinco Olhos. É formada por um grupo maior de países que também cooperam no compartilhamento de informações de inteligência. Ela inclui todos os países da Cinco Olhos, além da França, Dinamarca, Noruega e Holanda.

A Aliança Nove Olhos tornou-se amplamente conhecida após as revelações de Edward Snowden, em 2013. É, essencialmente, uma extensão do acordo da Aliança Cinco Olhos, que coopera para coletar e distribuir dados de vigilância em massa.

Embora as quatro nações adicionais não disponham de programas domésticos de vigilância tão abrangentes quanto os dos Estados Unidos, Reino Unido ou Austrália, elas ainda cooperam entre si e com os cinco países da aliança original.

A Aliança Nove Olhos é um acordo entre entidades da SIGINT e não é oficializada por um tratado formal.

3. A Aliança 14 Olhos

 

A Aliança 14 Olhos inclui os integrantes da Aliança Nove Olhos, e também a Alemanha, Bélgica, Itália, Suécia e Espanha.

O nome oficial da Aliança 14 Olhos é SIGINT Seniors of Europe (SSEUR), que existe desde 1982, mesmo com alterações. Anteriormente, o objetivo era trocar informações de inteligência militar, agora também abrange informações de vigilância de cidadãos comuns.

A Reunião da SIGINT Seniors é realizada anualmente e conta com a presença de líderes das agências da SIGINT, incluindo BND, NSA, DGSE, GCHQ e muito mais. Essas reuniões são uma oportunidade para os líderes de inteligência global discutirem sobre cooperação e desenvolvimento.

A SIGINT Seniors of the Pacific é uma entidade semelhante criada em 2005. Os integrantes são todos os países da Aliança Cinco Olhos, mais a Índia, França, Singapura, Tailândia e Coreia do Sul.

Acredita-se que outros países dignos de nota, como Israel e Japão, também trabalhem em estreita colaboração com a Aliança 14 Olhos e a NSA.

4. União Europeia (UE)

 

A União Europeia é um conjunto de nações europeias soberanas. É uma das maiores e mais poderosas uniões políticas e econômicas do mundo e é problemática em termos de vigilância e privacidade de dados.

As políticas de cooperação da União Europeia não são tão abrangentes ou invasivas quanto as das Alianças Cinco, Nove e 14 Olhos, mas os estados-membros da União Europeia ainda participam de acordos de compartilhamento de dados.

Existem algumas exceções a essa regra. Em 2009, o Tribunal Constitucional da Romênia (CCR) decidiu que as demandas da União Europeia constituíam uma violação dos direitos dos cidadãos romenos à privacidade.

Dessa forma, a Romênia se posiciona como refúgio de privacidade dos usuários dentre os países da União Europeia. Isso explica por que VPNs, como o CyberGhost, estão sediadas no país.

Alguns países são mais privados do que outros, mas há muitos que cooperam com as autoridades da Aliança Cinco Olhos ou o SSEUR e têm histórico de compartilhamento de dados. Vale a pena lembrar disso ao escolher uma VPN com sede em uma jurisdição da União Europeia.

5. A Organização de Cooperação de Xangai (SCO)

 

A Organização de Cooperação de Xangai (SCO), também conhecida como Pacto de Xangai, é uma aliança política e econômica da Eurásia entre Rússia, China, Paquistão, Índia, Quirguistão, Cazaquistão, Uzbequistão e Tadjiquistão.

O foco principal da SCO é a segurança nacional dos integrantes e ela atua no combate contra todas as formas de extremismo.

Nos últimos anos, as atividades da SCO expandiram para incluir maior cooperação militar, compartilhamento de informações de inteligência e contraterrorismo. É bem provável que os países integrantes da SCO coletem e compartilhem dados de maneira semelhante às alianças de inteligência ocidentais.

6. Países com forte censura

 

Certos países proíbem o uso de VPNs e invadem a privacidade dos cidadãos, independentemente de acordos internacionais.

Alguns dos países com as piores restrições na internet são a China, Emirados Árabes Unidos, Turquia, Rússia, Omã, Iraque e Belarus, mas essa lista está longe de ser exaustiva.

Você dificilmente vai encontrar uma VPN ou um servidor VPN com localização física em um desses países, mas é bom ficar atento. Encontramos muitas VPNs com vínculos com empresas chinesas questionáveis ao investigar os proprietários chineses de aplicativos de VPN grátis.

Se a sua preocupação seja a privacidade dos seus dados, também é interessante evitar jurisdições com laços estreitos com esses governos, como é o caso de Hong Kong

Para mais informações sobre a legalidade de VPNs e restrições de uso, leia nosso exclusivo guia das leis sobre VPNs.

Verificamos as políticas de privacidade das VPNs mais populares do mercado. Descobrimos que um número significativo de provedores de VPN tem sede em jurisdições que podem colocar os dados dos usuários em risco.

A tabela a seguir lista as 80 VPNs que testamos. Ela indica a jurisdição deles e se há ou não um Warrant Canary.

Se está interessado em uma VPN específica, use Ctrl+F para encontrar o provedor de VPN que está buscando.