Como as jurisdições de VPNs afetam você?

“Jurisdição” de uma VPN é o país em que a empresa foi legalmente estabelecida ou constituída. O sistema jurídico desse país afeta as leis e regulamentações de privacidade que a VPN deve respeitar.

O nível de vigilância e controle dos governos sobre o uso da internet varia conforme o país. Uma jurisdição invasiva ou perigosa pode obrigar uma VPN a monitorar, coletar ou compartilhar dados sobre seus usuários.

Servidores VPNs estão sujeitos à jurisdição do país em que estão fisicamente localizados.

As autoridades desse país têm autoridade legal para apreender o servidor e investigá-lo para procurar dados. No entanto, embora essas autoridades possam apreender o servidor, elas não podem obrigar a empresa da VPN a compartilhar informações, pois a sede é em outro país. É por isso que a política de log de uma VPN é tão importante quanto uma boa jurisdição.

Dependendo do nível de regulamentação da internet do seu país, talvez seja melhor escolher uma VPN localizada em outro lugar, que tenha leis de privacidade rigorosas e não participe de acordos internacionais de compartilhamento de dados.

Caso esteja tentando ocultar sua atividade de internet, não há dúvidas de que deve evitar usar uma VPN com sede em uma jurisdição invasiva. Afinal, ela pode ser forçada a entregar às autoridades informações de usuários, que podem ser compartilhadas com outros países com base em acordos de compartilhamento de inteligência.

No entanto, não deve se preocupar apenas com essa jurisdição.

Se algum desses locais estiver sujeito a leis invasivas, eles podem estar suscetíveis a buscas injustificadas e comprometimentos de privacidade em nome da “segurança”.

Ainda que seja importante, a jurisdição é apenas um dos muitos fatores a serem considerados na escolha da VPN. A importância dela depende do nível de proteção que você precisa.

Se o objetivo for se proteger contra a vigilância direcionada, usar uma VPN em uma jurisdição segura dificilmente será o suficiente. As agências nacionais de inteligência têm acesso a inúmeros recursos. Se você se tornar um alvo de monitoramento, terá de se preocupar com mais do que apenas a jurisdição da VPN.

Confiança também é um fator importante. Uma VPN pode mentir para os clientes e cooperar com as autoridades, mesmo que atue em uma jurisdição “segura”.

Essencialmente, a localização dos servidores que usa e as práticas da empresa que os controla provavelmente serão mais importantes do que o local de constituição da empresa.

Apesar disso, a jurisdição da VPN ainda é relevante se a sua preocupação for realmente com a privacidade. Você pode estar vulnerável às seguintes questões:

Vigilância e retenção de dados

Além da infraestrutura habitual de vigilância, as agências nacionais de inteligência, como a NSA e o serviço de inteligência GCHQ, conseguem obrigar organizações nacionais a registrar, compartilhar e descriptografar informações privadas.

Nos Estados Unidos, leis como a Lei Patriótica dão às autoridades o poder de coagir empresas legítimas a se tornarem ferramentas de coleta de dados para agências governamentais por meio de cartas de segurança nacional.

Essas solicitações podem ser acompanhadas de uma ordem de silêncio que proíbe a empresa de divulgar o que está sendo obrigada a fazer. Algumas empresas de VPN publicam Warrant Canaries na tentativa de contornar esse problema, algo que comentaremos mais adiante.

Há precedentes disso. Em 2013, o serviço de e-mail seguro Lavabit foi alvo do FBI, que tentava reunir informações sobre Edward Snowden.

A Lavabit foi intimada com uma ordem de silêncio a fornecer chaves de criptografia de conteúdo de e-mail dos usuários, o que permitiria que o FBI acessasse em tempo real comunicações de todos os clientes da Lavabit, não apenas de Snowden.

O fundador, Ladar Levison, forneceu as chaves de criptografia da empresa, mas, simultaneamente, interrompeu o serviço. As autoridades dos Estados Unidos começaram a ameaçar Levison de prisão, argumentando que a medida violou a ordem judicial.

Da mesma forma, o Riseup VPN, com sede em Seattle, foi obrigado a coletar dados de usuários para autoridades governamentais e recebeu uma ordem de silêncio para que não pudesse revelar isso aos usuários.

O HideMyAss, um provedor de VPN com sede no Reino Unido, também recebeu uma ordem judicial para coletar dados e compartilhá-los com autoridades em uma investigação criminal, o que foi revelado apenas depois da acusação formal.

Estes são apenas exemplos de casos que vieram a público. É bem provável que existam outros que desconhecemos.

Acordos de compartilhamento de dados

Acordos internacionais de vigilância, como as Alianças Cinco, Nove e 14 Olhos, permitem que os países integrantes usufruam, nas palavras da EFF, “do menor denominador comum de privacidade”.

Se um desses países aprovar uma lei que amplia a vigilância eletrônica e obtém acesso aos seus dados após ampliar suas capacidades de vigilância, eles podem ser compartilhados com outros membros da aliança.

Isso significa que há uma grande probabilidade da sua atividade ser coletada e compartilhada com uma agência de inteligência, independentemente da sua localização no mundo.

Servidores com localizações virtuais e servidores alugados

Algumas VPNs alugam servidores de data centers para reduzir custos operacionais. É muito mais barato operar uma rede internacional de servidores do que realmente ser proprietário dos servidores.

O provedor de VPN consegue assim reduzir as despesas, mas isso pode comprometer a privacidade.

Servidores VPN alugados pertencem ao data center proprietário, que pode manter logs da sua atividade, independentemente da política de log da empresa de VPN.

Dependendo da jurisdição do data center, as autoridades locais também podem obrigar o host do servidor a reter ou compartilhar dados do usuário.

Nesse caso, a política de log e a jurisdição da empresa de VPN de nada servem. As autoridades locais podem ir diretamente ao host do servidor para obter as informações de que precisam.

Se a sua preocupação for com a privacidade, recomendamos que escolha uma VPN sediada fora dos países integrantes das Alianças Cinco Olhos, Nove Olhos e 14 Olhos.

Os países integrantes dessas alianças tendem a participar de programas invasivos de vigilância, retenção de dados e coleta de informações.

Também é provável que as nações mais poderosas dessas alianças tenham a capacidade de obrigar outros integrantes a manter logs ou outras formas de cooperação.

O que é um paraíso da privacidade?

Recomendamos escolher uma VPN estabelecida em um país considerado um “paraíso da privacidade”.

Um paraíso da privacidade é um país com um ambiente jurídico e político em que se respeita a ideia de privacidade online. Esses países raramente participam de acordos que incluem vigilância, retenção de dados ou compartilhamento de dados obrigatórios e, geralmente, têm algumas das leis de privacidade mais robustas do mundo.

Ainda que esses países não sejam obrigados a compartilhar dados de usuários com autoridades internacionais, eles também não têm as regulamentações necessárias para garantir a proteção adequada aos dados dos usuários.

As Ilhas Virgens Britânicas, Panamá, Seychelles, Ilhas Cayman e Malásia são alguns dos países considerados paraísos da privacidade.

Muitas empresas de VPN, como a ExpressVPN e a NordVPN, têm a sede nesses países para garantir que o serviço permaneça o mais privado e seguro possível.

Existem também algumas VPN que são comprovadamente confiáveis, apesar de atuarem em uma jurisdição “perigosa”. A Private Internet Access (PIA), por exemplo, não forneceu dados ao governo dos Estados Unidos em um processo judicial oficial, apesar de ter sido intimada.

Há também algumas VPNs sem logs que foram testadas por situações reais ou que passaram por auditoria externa. Uma VPN em uma jurisdição segura no exterior simplesmente oferece proteção adicional, pois há menos chances de ser obrigada a fornecer dados às autoridades.

As VPNs precisam de um Warrant Canary?

Warrant Canary, ou canário de garantia, é uma declaração, constantemente atualizada, que tem como propósito provar que um provedor de serviços não foi contatado por uma agência governamental nem obrigado a compartilhar dados de usuários.

No geral, solicitações de dados, como uma “Carta de segurança nacional dos Estados Unidos” (NSL), vêm com uma ordem de silêncio que impede a empresa visada de divulgar que foi comprometida.

O objetivo do Warrant Canary é alertar os usuários de que seus dados podem não estar mais seguros, sem tecnicamente violar a ordem judicial.

Normalmente, os Warrant Canaries informam os usuários de que não houve um mandado emitido na justiça, uma ordem de silêncio ou uma intimação até uma determinada data.

Se o Warrant Canary não estiver atualizado ou se tiver sido completamente removido, os usuários devem presumir que uma ordem de silêncio entrou em vigor e o hospedeiro foi intimado judicialmente.

Muitas VPNs mantêm uma página de Warrant Canary para convencer usuários de que são confiáveis.

No entanto, o simples fato de um provedor de VPN manter um Warrant Canary não significa que o serviço seja privado ou seguro. Serviços confiáveis podem optar por evitar usá-lo por ter uma eficácia controversa.

Alguns especialistas argumentam que os governos podem coagir empresas a manter um Warrant Canary, ainda que tenham sido comprometidas, o que o torna inútil. Também é possível que um serviço comprometido decida não atualizar o Warrant Canary para não perder clientes, fazendo com que essa declaração seja nada mais do que uma estratégia de marketing.

Infelizmente, não há como ter certeza se uma alteração no Warrant Canary é um indicador real de uma ordem judicial. Os usuários são obrigados a especular o que a remoção ou alteração de um Warrant Canary significa.

Recomendamos que pense no Warrant Canary como um recurso adicional de uma VPN confiável, em vez de procurar especificamente uma VPN que o ofereça.

A NSA é uma das agências de inteligência de sinais (“SIGINT”, na sigla em inglês) mais conhecidas, mas quase todos os países têm sua própria agência equivalente que realiza vigilância em massa, e muitas vezes essas instituições colaboram entre si.

Essas agências atuam na aplicação da lei, coleta de dados e contrainteligência, interceptando sinais eletrônicos e comunicações online.

As Alianças Cinco, Nove e 14 Olhos são três dos acordos internacionais de compartilhamento de inteligência mais significativos que realizam esse tipo de vigilância coordenada entre países-membros.

Países dessas alianças estão entre as piores jurisdições de VPN em termos de privacidade, já que apresentam uma tendência maior a acatarem solicitações de vigilância de agências aliadas.

 

Segue uma lista das principais entidades globais de vigilância que precisam ser conhecidas:

1. A Aliança Cinco Olhos

 

Os países da Aliança Cinco Olhos são Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia.

Esse acordo de compartilhamento de inteligência data da Segunda Guerra Mundial e remonta ao acordo UKUSA, que era originalmente uma parceria entre Estados Unidos e Reino Unido.

Nas últimas décadas, o tratado expandiu em integrantes e alcance. Os países membros, conhecidos como Aliança Cinco Olhos, agora cooperam na coleta, análise e compartilhamento de informações de inteligência, nacional e internacionalmente.

Embora os países da Aliança Cinco Olhos tenham concordado em não espionar uns aos outros como adversários, documentos vazados por Edward Snowden revelaram que as nações monitoram cidadãos umas das outras e compartilham essa inteligência entre si.

Além de compartilhar dados de vigilância entre si, os países da Aliança Cinco Olhos também cooperam no envio e na fiscalização de avisos de retenção de dados. Ou seja, um país pode pressionar um terceiro para que forneça logs de usuários de uma VPN sob a jurisdição desse outro país.

Não é de se surpreender que muitos dos países da Aliança Cinco Olhos estejam entre os que mais violam a privacidade digital.

Se a sua preocupação for com a privacidade ao usar uma VPN, os países da Aliança Cinco Olhos são considerados as piores jurisdições possíveis.

Sistema de vigilância ECHELON

Os países da Aliança Cinco Olhos utilizam a ECHELON, uma rede de estações de espionagem voltada para a vigilância e coleta de dados globais.

A ECHELON pode interceptar dados enviados por telefones, aparelhos de fax e computadores. As estações dela podem rastrear contas bancárias e até interceptar dados enviados entre retransmissores de satélite. Todos esses dados são armazenados em extensos bancos de dados que podem manter milhões de registros pessoais.

Apesar das evidências só terem aumentado nos últimos 30 anos, os Estados Unidos continuam a negar a existência da ECHELON, enquanto o governo do Reino Unido se mantém evasivo.

Ainda que os governos neguem a alegação, vários whistleblowers comprovaram a verdade ao documentar certos aspectos do projeto ECHELON.

2. A Aliança Nove Olhos

 

A Aliança Nove Olhos é uma extensão da Aliança Cinco Olhos. É formada por um grupo maior de países que também cooperam no compartilhamento de informações de inteligência. Ela inclui todos os países da Cinco Olhos, além da França, Dinamarca, Noruega e Holanda.

A Aliança Nove Olhos tornou-se amplamente conhecida após as revelações de Edward Snowden, em 2013. É, essencialmente, uma extensão do acordo da Aliança Cinco Olhos, que coopera para coletar e distribuir dados de vigilância em massa.

Embora as quatro nações adicionais não disponham de programas domésticos de vigilância tão abrangentes quanto os dos Estados Unidos, Reino Unido ou Austrália, elas ainda cooperam entre si e com os cinco países da aliança original.

A Aliança Nove Olhos é um acordo entre entidades da SIGINT e não é oficializada por um tratado formal.

3. A Aliança 14 Olhos

 

A Aliança 14 Olhos inclui os integrantes da Aliança Nove Olhos, e também a Alemanha, Bélgica, Itália, Suécia e Espanha.

O nome oficial da Aliança 14 Olhos é SIGINT Seniors of Europe (SSEUR), que existe desde 1982, mesmo com alterações. Anteriormente, o objetivo era trocar informações de inteligência militar, agora também abrange informações de vigilância de cidadãos comuns.

A Reunião da SIGINT Seniors é realizada anualmente e conta com a presença de líderes das agências da SIGINT, em que discutem sobre cooperação e desenvolvimento.

A SIGINT Seniors of the Pacific é uma entidade semelhante criada em 2005. Os integrantes são todos os países da Aliança Cinco Olhos, mais a Índia, França, Singapura, Tailândia e Coreia do Sul.

Acredita-se que outros países dignos de nota, como Israel e Japão, também trabalhem em estreita colaboração com a Aliança 14 Olhos e a NSA.

4. União Europeia (UE)

 

A União Europeia é um conjunto de nações europeias soberanas. Não é tão invasiva quanto as Alianças Cinco, Nove e 14 Olhos, mas os estados-membros da União Europeia ainda participam de acordos de compartilhamento de dados, colocando a privacidade em risco.

Entretanto, em 2009, o Tribunal Constitucional da Romênia (CCR) decidiu que as demandas da União Europeia constituíam uma violação dos direitos dos cidadãos romenos à privacidade, fazendo com que o país seja um paraíso de privacidade de usuários na UE. Isso explica por que VPNs, como o CyberGhost, estão sediadas lá.

Alguns países são mais privados do que outros, mas há muitos que cooperam com as autoridades da Aliança Cinco Olhos ou o SSEUR e têm histórico de compartilhamento de dados. Vale a pena lembrar disso ao escolher uma VPN com sede em uma jurisdição da União Europeia.

5. A Organização de Cooperação de Xangai (SCO)

 

A Organização de Cooperação de Xangai (SCO), também conhecida como Pacto de Xangai, é uma aliança política e econômica da Eurásia entre Rússia, China, Paquistão, Índia, Quirguistão, Cazaquistão, Uzbequistão e Tadjiquistão.

O foco principal da SCO é a segurança nacional dos integrantes e ela atua no combate contra todas as formas de extremismo.

Nos últimos anos, as atividades da SCO expandiram para incluir maior cooperação militar, compartilhamento de informações de inteligência e contraterrorismo. É bem provável que os países integrantes da SCO coletem e compartilhem dados de maneira semelhante às alianças de inteligência ocidentais.

6. Países com forte censura

 

Certos países proíbem o uso de VPNs e invadem a privacidade dos cidadãos, independentemente de acordos internacionais.

Alguns dos países com as piores restrições na internet são a China, Emirados Árabes Unidos, Turquia, Rússia, Omã, Iraque e Belarus, mas essa lista está longe de ser exaustiva.

Você dificilmente encontra uma VPN ou um servidor VPN com localização física em um desses países, mas é bom ficar atento. Encontramos muitas VPNs com vínculos com empresas chinesas questionáveis ao investigar os proprietários chineses de aplicativos de VPN grátis.

Se a sua preocupação seja a privacidade dos seus dados, também é interessante evitar jurisdições com laços estreitos com esses governos, como no caso de Hong Kong.

Para mais informações sobre a legalidade de VPNs e restrições de uso, leia nosso exclusivo guia das leis sobre VPNs.

Verificamos as políticas de privacidade das VPNs mais populares do mercado. Descobrimos que um número significativo de provedores de VPN tem sede em jurisdições que podem colocar os dados dos usuários em risco.

A tabela a seguir lista as 80 VPNs que testamos. Ela indica a jurisdição deles e se há ou não um Warrant Canary. Quando o Warrant Canary não está mais atualizado e há uma suspeita que é inválido, será marcado com a cor vermelho.