Isso não é uma solicitação de aconselhamento jurídico, e quaisquer respostas neste tópico não devem ser consideradas como aconselhamento jurídico.
Esta é uma solicitação de aconselhamento geral e não específico.
É realmente estranho perguntar isso como meu primeiro tópico aqui no Meta, mas não encontrei respostas decentes. Eu estava no processo de descobrir como excluir conteúdo ilegal de meus backups do S3, caso eu precise, e tomei a infeliz(?) decisão de “consultar” o ChatGPT se deveria estar ciente de quaisquer leis que pudessem estar relacionadas a isso… o que me levou por esse caminho.
Contexto
No ano passado, o Congresso dos EUA aprovou o REPORT Act, que impõe requisitos aos provedores para relatar instâncias de CSAM ao NCMEC (National Center for Missing and Exploited Children) CyberTipline, e reter esse conteúdo por até um ano. Pelo meu entendimento limitado, “provedores” incluem qualquer pessoa que hospeda um fórum Discourse, já que somos um “provedor de serviços de comunicação eletrônica ou serviço de computação remota”.
Até onde pude encontrar, os provedores da UE têm uma obrigação de relatar, mas não têm uma política de retenção como os EUA, exceto por algum tipo de proposta (não li este PDF completamente, mas ele é pelo menos mencionado na página 8).
Encontrei um artigo que menciona que o Reino Unido também tem o Online Safety (CSEA Content Reporting) Regulations 2025, que entra em vigor em 3 de novembro de 2025. Parece afirmar que os provedores também são obrigados a armazenar esses dados de CSAM por um ano. Acho que também li que os provedores do Reino Unido são obrigados a usar detecção de hash de imagem para filtrar imagens conhecidas de CSAM, juntamente com URLs de CSAM, em algum lugar, mas não consigo encontrar a fonte.
Isso se aplica a nós, como a comunidade Discourse?
Provavelmente? Não encontrei nada em contrário, mas por favor, me corrija se eu estiver errado.
Para mim, tenho trabalhado arduamente na configuração de um servidor Discourse auto-hospedado na AWS para o pequeno negócio de um membro da família (enquanto aprendo Cloud Engineering/DevOps/IaC ao longo do caminho), e a probabilidade de alguém postar CSAM em nosso fórum é infinitesimal.
É provavelmente mais provável que eu seja atingido por um raio duas vezes em um dia ensolarado.
No entanto, quero ter a infraestrutura de armazenamento de retenção necessária e um plano pronto caso algum indivíduo doente e autodestrutivo queira causar problemas - uma preparação do tipo “quebrar vidro em caso de emergência”. Estou falando de configurar um bucket de retenção dedicado, protegê-lo com criptografia e/ou funções IAM, manter logs de acesso, ter um procedimento para transferir com segurança esses dados de CSAM para fora do seu bucket de uploads, etc.
Perguntas
Minhas perguntas são principalmente direcionadas aos provedores dos EUA, embora pareça que os provedores do Reino Unido e da UE também possam querer essas respostas em breve.
- Vocês já lidaram com conteúdo CSAM em suas comunidades?
- Qual foi o procedimento para lidar com isso? NSFW AI Triage → relatar → armazenamento? Quando vocês contataram um advogado para isso (se é que contataram)? Como vocês lidaram com backups de banco de dados + uploads que podem ou não ter armazenado esses dados?
- Vocês configuraram o armazenamento de retenção necessário? Se sim, como vocês cumpriram as regulamentações relevantes?
- Bucket S3 dedicado? Criptografia? Vocês o têm em uma conta de nuvem diferente?
- Vocês usam algum software proativo de detecção/bloqueio de hash de imagem em sua infraestrutura para que esse conteúdo não chegue aos seus servidores em primeiro lugar? Alguma solução que não custe uma fortuna?
Agradeceria muito algum tipo de orientação geral e NÃO JURÍDICA ou referências para usar, já que todas as informações que consigo encontrar online parecem ser voltadas para alguém que trabalha em uma grande empresa com muito dinheiro e experiência, mas tenho certeza de que essas leis se aplicam a todos. Mesmo que ninguém nunca faça upload desse tipo de conteúdo ilegal para nenhum fórum Discourse em todo o mundo, prefiro prevenir do que remediar.