A regulamentação da interceção legal nos Emirados Árabes Unidos e nos Estados do Golfo difere significativamente dos quadros europeus. Os Estados do Conselho de Cooperação do Golfo (CCG) - Emirados Árabes Unidos, Arábia Saudita, Qatar, Bahrein, Kuwait e Omã - representam alguns dos mercados de telecomunicações que mais crescem no mundo. Os operadores europeus, as MVNO e os fornecedores de tecnologia que pretendam entrar ou estabelecer parcerias nestes mercados devem compreender que o panorama da interceção legal no Golfo é fundamentalmente diferente daquele a que estão habituados na UE. A filosofia regulamentar, as estruturas institucionais, os requisitos técnicos e o grau de envolvimento do Estado na vigilância das telecomunicações divergem significativamente do modelo europeu.
Este artigo centra-se principalmente nos Emirados Árabes Unidos, o mercado mais importante do Golfo para os operadores internacionais, mas também aborda temas comuns a toda a região do CCG. Para os operadores europeus, a principal conclusão é que a entrada no mercado de telecomunicações do Golfo exige uma reavaliação profunda dos pressupostos sobre o modo como funciona a interceção legal, quem a conduz e como é o cumprimento na prática.
Interceção legal nos EAU: Requisitos de entrada no mercado
Na UE, a interceção legal funciona num quadro de controlo judicial, de proporcionalidade e de proteção dos direitos fundamentais. As ordens de interceção são normalmente emitidas por juízes, os organismos de controlo analisam a utilização dos poderes de vigilância e os operadores operam num contexto de segurança jurídica e de garantias processuais. Nos Estados do Golfo, a filosofia regulamentar é marcadamente diferente. A vigilância das telecomunicações é geralmente tratada como uma prerrogativa soberana, exercida por agências de segurança do Estado com ampla autoridade e, na maioria dos casos, com uma supervisão independente limitada.
Nos Emirados Árabes Unidos, a Telecommunications and Digital Government Regulatory Authority (TDRA) - antiga Telecommunications Regulatory Authority (TRA) - é o principal organismo regulador do sector das telecomunicações. A TDRA estabelece o quadro regulamentar em que os operadores devem funcionar, incluindo os requisitos relacionados com a interceção legal. No entanto, a direção operacional das actividades de interceção é conduzida principalmente pelos serviços de segurança, e os operadores devem estar preparados para trabalhar em estreita colaboração com estas agências para satisfazer os seus requisitos.
A base legal para a interceção nos EAU encontra-se em vários decretos e regulamentos federais, incluindo disposições do Decreto-Lei Federal de Combate aos Crimes das Tecnologias da Informação (Decreto-Lei Federal n.º 34 de 2021 e suas alterações). Estes instrumentos concedem amplos poderes às agências de segurança para intercetar, monitorizar e aceder a comunicações electrónicas no interesse da segurança nacional, da ordem pública e da prevenção da criminalidade. O âmbito destes poderes é significativamente mais alargado do que na maioria das jurisdições da UE e as garantias processuais são de natureza diferente.
Requisitos técnicos nos EAU
Os requisitos técnicos para a interceção legal nos EAU são definidos pelo TDRA em consulta com as agências de segurança. Os operadores devem implementar capacidades de interceção que cumpram as especificações do TDRA, que incluem a capacidade de intercetar comunicações de voz, SMS, dados e baseadas em IP. As normas técnicas são influenciadas pelo ETSI, mas incluem adaptações específicas dos EAU e requisitos adicionais que reflectem as prioridades de segurança do Estado.
Uma das diferenças mais significativas em relação ao modelo europeu é o grau de acesso direto que as agências de segurança podem exigir à infraestrutura de rede de um operador. Em alguns Estados do Golfo, os operadores são obrigados a fornecer acesso em tempo real aos seus sistemas através de interfaces dedicadas que permitem às agências de segurança ativar, gerir e monitorizar diretamente as intercepções, com pouca ou nenhuma participação do pessoal do operador. Este modelo contrasta fortemente com a abordagem europeia, em que os operadores mantêm normalmente o controlo da ativação e execução das intercepções e entregam os dados resultantes às autoridades policiais através de interfaces de transferência definidas.
Os requisitos de interceção dos EAU estendem-se às capacidades de inspeção de conteúdos e de inspeção profunda de pacotes (DPI), que vão além do que é normalmente exigido nos mercados europeus. Os operadores podem ser obrigados a implementar soluções DPI capazes de identificar e filtrar tipos específicos de tráfego, incluindo comunicações encriptadas, serviços VoIP e aplicações de mensagens. A implantação de tais tecnologias levanta questões técnicas e éticas importantes para os operadores europeus, sobretudo tendo em conta a ênfase da UE na privacidade e na proteção de dados.
Para os operadores que prestam serviços nos Emirados Árabes Unidos, os requisitos de conformidade técnica não são negociáveis. A não implementação das capacidades de interceção exigidas pode resultar na suspensão ou revogação da licença do operador. A TDRA efectua avaliações regulares da conformidade dos operadores com os requisitos de interceção e as agências de segurança podem realizar inspecções independentes à infraestrutura do operador.
Panorama mais vasto do CCG
Embora cada Estado do CCG tenha o seu próprio quadro regulamentar, surgem vários temas comuns em toda a região. A Comissão das Comunicações, do Espaço e da Tecnologia (CST) da Arábia Saudita impõe aos operadores requisitos rigorosos em matéria de interceção, incluindo a instalação de centros de monitorização que interagem diretamente com os serviços de segurança. O quadro saudita dá ênfase a capacidades de vigilância abrangentes, incluindo a capacidade de intercetar comunicações encriptadas e de monitorizar as redes sociais e as plataformas de mensagens.
A Communications Regulatory Authority (CRA) do Qatar estabeleceu o seu próprio conjunto de requisitos de interceção, que foram reforçados nos últimos anos. A Telecommunications Regulatory Authority (TRA) do Barém exige igualmente que os operadores mantenham capacidades de interceção e cooperem com os serviços de segurança. No Kuwait e em Omã, os quadros regulamentares estão um pouco menos documentados publicamente, mas a expetativa de cooperação dos operadores com os requisitos de interceção é consistente em toda a região.
Uma caraterística comum a todo o CCG é a ênfase na monitorização das comunicações encriptadas e dos serviços OTT. Os Estados do Golfo restringiram ou bloquearam em várias ocasiões os serviços VoIP, como as chamadas de voz do WhatsApp, o Skype e o FaceTime, em parte por razões comerciais (para proteger as receitas dos operadores históricos) e em parte por razões de segurança (para manter as capacidades de vigilância). Os operadores que entram no mercado do CCG devem compreender esta dinâmica e estar preparados para cumprir os requisitos que podem incluir o bloqueio ou a filtragem de serviços específicos.
Desafios para os operadores europeus
Os operadores europeus que entram no mercado do Golfo enfrentam vários desafios importantes relacionados com a interceção legal. O primeiro é a tensão entre os requisitos de vigilância do Golfo e o quadro jurídico da UE em matéria de proteção de dados e privacidade. Os operadores sujeitos ao RGPD podem encontrar-se numa posição em que o cumprimento dos requisitos de interceção do Golfo pode entrar em conflito com as suas obrigações ao abrigo da legislação da UE, especialmente se estiverem envolvidos dados sobre cidadãos ou residentes da UE. Esta tensão requer uma análise jurídica cuidadosa e pode exigir medidas estruturais, como a localização de dados ou a separação das operações no Golfo e na Europa.
O segundo desafio é a exigência de acesso direto por parte das agências de segurança. Os operadores europeus, habituados a manter o controlo dos seus processos de interceção e a fornecer dados através de interfaces definidas, devem adaptar-se a um modelo em que as agências de segurança podem ter um acesso mais direto à rede. Isto tem implicações na conceção da rede, na arquitetura da segurança e na governação interna das actividades de vigilância por parte do operador.
O terceiro desafio prende-se com o âmbito dos requisitos de interceção. Os requisitos dos Estados do Golfo em matéria de inspeção de conteúdos, DPI e monitorização das comunicações cifradas ultrapassam o que a maioria dos operadores europeus implantou nos seus mercados nacionais. Os operadores têm de investir em capacidades técnicas adicionais e podem ter de utilizar equipamento e software que não utilizariam no contexto europeu.
Um quarto desafio é a falta de documentação pública para alguns aspectos dos requisitos de interceção. Embora a TDRA e outras entidades reguladoras do Golfo publiquem quadros e orientações gerais, as especificações técnicas pormenorizadas para a interceção são frequentemente fornecidas numa base confidencial aos operadores licenciados. Isto significa que os operadores não podem avaliar plenamente os requisitos técnicos antes de entrarem no mercado e têm de estar preparados para um processo iterativo de revisão, desenvolvimento e teste das especificações depois de obterem a sua licença.
Controlo das exportações e considerações éticas
Os operadores europeus e os vendedores de tecnologia devem também considerar as implicações do controlo das exportações na implantação de tecnologia de vigilância no Golfo. O regulamento da UE relativo à dupla utilização (Regulamento 2021/821) impõe controlos de exportação a determinadas tecnologias de vigilância e interceção, incluindo equipamento e software que possam ser utilizados para a interceção de telecomunicações. Os operadores e fornecedores que exportam essas tecnologias para os Estados do Golfo devem garantir que obtêm as licenças de exportação necessárias e que cumprem as condições associadas a essas licenças.
Para além da conformidade legal, há considerações éticas que os operadores europeus devem ter em conta. Os registos dos direitos humanos dos Estados do Golfo têm sido objeto de escrutínio internacional, e a implantação de tecnologias de vigilância nestes mercados acarreta riscos para a reputação. Os operadores devem efetuar avaliações de diligência devida em matéria de direitos humanos antes de entrarem no mercado e estabelecer políticas para responder a situações em que a sua tecnologia possa ser utilizada de forma a entrar em conflito com as normas internacionais de direitos humanos.
Várias empresas europeias têm enfrentado críticas públicas e desafios legais relacionados com a venda ou implementação de tecnologia de vigilância na região do Golfo e do Médio Oriente em geral. Os operadores que entram neste espaço devem assegurar-se de que dispõem de programas de conformidade sólidos, incluindo processos de análise ética, proteção contra denúncias e avaliações regulares do impacto das suas actividades nos direitos humanos.
Recomendações práticas
Para os operadores europeus que estão a pensar entrar nos EAU ou no mercado mais vasto do CCG, recomendam-se várias medidas práticas. Em primeiro lugar, efetuar uma avaliação jurídica e regulamentar exaustiva do mercado-alvo, incluindo os requisitos de interceção, as obrigações de localização de dados e quaisquer potenciais conflitos com a legislação da UE. Contratar um consultor jurídico local com experiência em regulamentação de telecomunicações e legislação de segurança nacional.
Em segundo lugar, contacte a autoridade reguladora competente no início do processo de planeamento para compreender as especificações técnicas da interceção e iniciar o processo de conformidade. Dê tempo suficiente para o desenvolvimento técnico e os testes, pois os requisitos podem ser mais extensos do que o previsto. Em terceiro lugar, avaliar as implicações do controlo das exportações na implementação de qualquer tecnologia relacionada com a vigilância e obter as autorizações necessárias antes de prosseguir.
Em quarto lugar, realizar uma avaliação do impacto sobre os direitos humanos e estabelecer políticas e procedimentos para gerir as dimensões éticas da operação da tecnologia de vigilância no Golfo. Quinto, assegurar que as suas estruturas de governação empresarial permitem uma supervisão adequada das actividades de vigilância e que as suas políticas internas estão alinhadas com os requisitos legais locais e com os padrões éticos da sua organização.
Conclusão
Os EAU e o CCG em geral apresentam oportunidades significativas para os operadores de telecomunicações europeus, mas o panorama da interceção legal nestes mercados exige uma abordagem fundamentalmente diferente daquela a que os operadores estão habituados na Europa. A filosofia reguladora centrada no Estado, o vasto âmbito dos poderes de interceção, os requisitos para o acesso direto e a inspeção de conteúdos e as considerações éticas associadas à vigilância no Golfo exigem uma preparação cuidadosa, conhecimentos especializados e uma abordagem proactiva à conformidade. As operadoras que investirem na compreensão desses requisitos e na construção de capacidades apropriadas estarão bem posicionadas para ter sucesso nesses mercados dinâmicos e em crescimento, enquanto gerenciam os riscos legais, técnicos e de reputação que vêm com a operação em um ambiente regulatório fundamentalmente diferente.
O ambiente regulamentar da interceção legal nos EAU difere significativamente das normas europeias. Os operadores que planeiam entrar no mercado devem compreender bem os requisitos da interceção legal nos EAU antes de se comprometerem com a implementação.
Artigos relacionados
Para mais informações sobre temas relacionados, consulte estes artigos:
- Requisitos de LI nos Países Baixos: BWNI, NBIP e o que os MVNOs devem saber
- Requisitos de interceção legal da LGTEL em Espanha
- Interceção legal de satélites: Porque é que as parcerias MNO-Satélite estão a criar novas exigências de conformidade
Recursos externos
Os seguintes recursos externos fornecem contexto adicional e documentação oficial:
