Seis Estados-membros da Uniao Europeia exportaram tecnologia de vigilancia para mais de duas dezenas de paises com historicos documentados de violacoes de direitos humanos, de acordo com um relatorio publicado pela Human Rights Watch em 12 de maio de 2026. As conclusoes expoem uma falha sistemica no principal quadro de controlo de exportacoes da UE e levantam questoes diretas sobre se ferramentas de vigilancia europeias estao a ser usadas para rastrear ativistas, jornalistas e utilizadores de VPN em regimes autoritarios em todo o mundo.
O relatorio: exportacoes de spyware da UE para regimes autoritarios
O relatorio da HRW, intitulado "Olhar para o outro lado: o fracasso da UE em prevenir exportacoes de vigilancia para violadores de direitos", documenta como o Regulamento de Dupla Utilizacao da UE de 2021 - concebido para impedir que tecnologia de vigilancia chegue a governos repressivos - falhou na pratica. Os investigadores conseguiram obter dados de exportacao apenas de 7 dos 27 Estados-membros da UE, depois de 12 pedidos de acesso a informacao terem sido recusados de plano.
Entre os casos confirmados: a Bulgaria exportou software de intrusao e sistemas de intercecao de telecomunicacoes entre 2020 e 2023 para o Azerbaijao, Bosnia-Herzegovina, Brasil, Costa do Marfim, Republica Dominicana, El Salvador, Gana, Guatemala, Israel, Jordania, Malasia, Mexico, Mongolia, Marrocos, Panama, Filipinas, Serbia, Uganda, Emirados Arabes Unidos, Ucrania e Vietna. A Polonia exportou sistemas de intercecao de telecomunicacoes para o Ruanda em 2023. A empresa sueca MSAB exportou ferramentas de extracao forense de dados para a India explorando uma lacuna de classificacao.
Por que o regulamento falhou
O Regulamento de Dupla Utilizacao da UE de 2021 foi apresentado como uma reforma historica que iria fechar a lacuna nas exportacoes de tecnologia de vigilancia que tinha permitido a empresas europeias vender spyware a governos autoritarios durante anos. O regulamento exige que os Estados-membros reportem decisoes de licenciamento, avaliem riscos para os direitos humanos e impedam exportacoes que provavelmente violem o direito internacional.
A HRW identificou cinco mecanismos de falha distintos:
- Deficit de transparencia: A Comissao Europeia reinterpretou as obrigacoes de relatorio de forma a separar o tipo de tecnologia do pais de destino nos seus relatorios publicos. O resultado: e impossivel determinar qual pais recebeu qual ferramenta de vigilancia de qual Estado da UE.
- Diligencia devida fraca: As empresas so sao obrigadas a "considerar" os riscos para os direitos humanos - sem necessidade de agir em conformidade ou de documentar a avaliacao. Este nao e um padrao vinculativo.
- Isencoes de sigilo: Os Estados-membros invocaram a seguranca nacional e segredos comerciais para reter dados de licenciamento de exportacao, tornando a supervisao externa impossivel.
- Lacunas de classificacao: A MSAB sueca exportou ferramentas de extracao forense para a India - um pais com abusos de spyware documentados - argumentando que as ferramentas nao eram "especialmente concebidas" para vigilancia encoberta e, portanto, ficavam fora da clausula geral do regulamento.
- Sub-declaracao: A Suecia reportou oficialmente zero pedidos de licenca de exportacao a Comissao, apesar de exportacoes confirmadas da MSAB terem ocorrido no mesmo periodo.
Os destinatarios: paises com repressao documentada
O Azerbaijao, um dos destinos de exportacao confirmados da Bulgaria, tem um historico bem documentado de visagem a jornalistas, ativistas e oposicao politica atraves de vigilancia digital. Os investigadores encontraram provas substanciais de que o Azerbaijao usou o spyware Pegasus - desenvolvido pelo NSO Group, uma empresa ligada a Circles, que por sua vez esta conectada as exportacoes bulgares de vigilancia - contra a sociedade civil armenia durante o conflito de 2023.
O Ruanda, que recebeu da Polonia sistemas de intercecao de telecomunicacoes, esta documentado como utilizador do Pegasus contra dissidentes e membros da diaspora pelo menos desde 2017. O pais adotou em 2013 uma lei de vigilancia alargada que confere as autoridades amplos poderes para monitorizar comunicacoes.
Franca, Alemanha, Grecia, Italia e Espanha - suspeitas de serem grandes exportadoras pela sua dimensao - recusaram ou ignoraram os pedidos de acesso a informacao da HRW, o que significa que os seus registos de exportacao permanecem completamente opacos.
O que o "software de intrusao" e a "intercecao de telecomunicacoes" fazem realmente
As categorias de vigilancia que aparecem nos registos de exportacao nao sao abstratas. O software de intrusao - descrito pelos fornecedores como ferramentas de "intercecao legal" - permite acesso encoberto a dispositivos, extraindo mensagens, registos de chamadas, contactos, historico de localizacao e feeds de microfone ou camera sem o conhecimento do alvo. Os sistemas de intercecao de telecomunicacoes operam ao nivel da rede, permitindo a monitorizacao em tempo real de chamadas, SMS e trafego de internet em toda a infraestrutura de um operador.
Estas sao as ferramentas que os governos autoritarios usam para identificar utilizadores de VPN, localizar dissidentes e monitorizar comunicacoes cifradas. Quando tais ferramentas sao exportadas de Estados-membros da UE com sistemas juridicos funcionais, fornecem capacidades tecnicas a governos que nao dispoe de nenhum dos mecanismos de supervisao ou responsabilizacao que, pelo menos nominalmente, regem a sua utilizacao na Europa.
Recomendacoes da HRW
A Human Rights Watch apelou a Comissao Europeia para emitir novas diretrizes de implementacao alinhadas com o texto real do Regulamento de Dupla Utilizacao, para impor relatorios publicos detalhados que associem as categorias tecnologicas aos paises de destino, para exigir que as empresas realizem e documentem uma diligencia devida significativa em materia de direitos humanos - e nao se limitem a "considerar" os riscos - e para garantir que as organizacoes da sociedade civil tenham participacao formal na avaliacao continua da eficacia do regulamento.
O relatorio tambem recomendou que os Estados-membros da UE recusem licencas de exportacao para tecnologia de vigilancia para qualquer pais cujo governo tenha um padrao documentado de utilizacao de tais ferramentas contra jornalistas, ativistas, politicos da oposicao ou comunidades da diaspora.
O padrao mais amplo
As conclusoes da HRW sao consistentes com um padrao mais amplo documentado por investigadores do Citizen Lab, da Amnesty International e da Access Now: empresas tecnologicas e governos europeus forneceram repetidamente capacidades de vigilancia a regimes autoritarios, citando frequentemente casos de uso de "intercecao legal" ou "aplicacao legítima da lei" que nao resistem ao escrutinio nos paises de destino.
Para as pessoas que vivem sob regimes que receberam estas ferramentas, uma VPN oferece uma camada parcial de protecao contra monitorizacao ao nivel da rede. Nao pode proteger contra software de intrusao ao nivel do dispositivo - o tipo que a Bulgaria exportou para o Azerbaijao -, mas cifra o trafego em transito e oculta o endereco IP real do utilizador ao seu fornecedor de internet e aos sistemas de vigilancia em massa presentes na infraestrutura de rede.
• Uniao Europeia: tecnologia de vigilancia vendida a violadores de direitos - Human Rights Watch
• Olhar para o outro lado: o fracasso da UE em prevenir exportacoes de vigilancia para violadores de direitos - HRW
• Bulgaria e Polonia entre os estados da UE acusados de vender tecnologia espia a autocracias - Balkan Insight
