Pauta em discussão

Prazo encerrado

Escopo da Obrigação de Guarda do Artigo 15

Discussão criada por Joana Varon em 31/03/15

Tema: Guarda de Registros , Privacidade na rede

O artigo 15 é excessivo e controverso, além de ir na contramão da tendência da União Européia, onde os padrões de proteção à privacidade tem se elevado. Por lá, em abril de 2014 (mesmo mês de aprovação do Marco Civil) o Tribunal de Justiça proferiu um julgamento que declarou inválida a Diretiva 2006/24/EC que estabelece Retenção obrigatória de Dados de conexão. Na ocasião, ao analisar se a Diretiva atendia ao princípio da proporcionalidade, o julgado considerou que, embora a luta contra o crime, particularmente o crime organizado e o terrorismo, sejam de grande importância para a segurança pública, as medidas de retenção dos dados de conexão, inclusive metadados, devem ser consideradas desproporcionais. Também destacou que “mesmo que a diretiva não permita o acesso ao conteúdo das comunicações, seria razoável considerar que a retenção desse tipo de dados pode ter efeito no uso desses meios de comunicação e, consequentemente, na liberdade de expressão de seus usuários.”

Ainda assim, caso tal artigo seja regulado e colocado em prática, há de se minimizar os danos que ele pode causar não só aos usuários da rede, mas também ao futuro da pesquisa, desenvolvimento e inovação para a criação ferramentas de proteção à privacidade, um vez que o texto restringe que este tipo de atividade seja realizado apenas por provedores não comerciais.

Há de se destacar que a proteção à privacidade, inclusive por meio do desenvolvimento de tecnologias para o setor das Tecnologias de Informação e Comunicação, é parte do nosso discurso internacional e, inclusive, da nossa Política Cibernética de Defesa. Então fica a questão: porque restringir o surgimento de empresas nacionais (ou a inserção de tecnologias de empresas internacionais) voltadas ao desenvolvimento de ferramentas que protejam à privacidade de usuários? A guarda de registros de aplicação por 6 meses é algo que não condiz com tal finalidade, além de representar um custo extra para pequenas empresas que se veem obrigadas a instalar e manter seguros grandes bancos de dados que iriam além de seu modelo de negócios.

Nesse sentido, há que se delimitar melhor o escopo do artigo 15 ao definir a que tipo de provedores ele se aplica. O texto atual do marco civil já faz uma tentativa ao afirmar que a obrigação de guarda se estende a provedores de aplicação que são: “constituídos na forma de pessoa jurídica” e “exerçam essa atividade de forma organizada, profissionalmente e com fins econômicos”. Contudo, essa definição não exclui eventuais “start ups” que queriam se dedicar a aplicativos que protejam a privacidade e, portanto, operem pela lógica de minimização e proteção de dados armazenados.

Pelo contexto de sua concepção, e pela tentativa de delimitação do escopo, entende-se que o foco inicial do artigo 15 era simplesmente assegurar que provedores de aplicações de grande porte, que já armazenam registros, tivessem claro que devem submeter-se a obrigações de guarda e requerimentos de acesso a estes registros quando requisitados pelas autoridades nacionais.  Em último caso, por uma questão de segurança jurídica do Estado brasileiro.

Assim, deixando de lado controvérsias sobre a constitucionalidade de tal medida, ou mesmo coerência com os princípios do próprio Marco Civil, fica claro que ampliar o escopo para provedores de qualquer porte pode ser ainda mais danoso. Sugere-se, portanto, que, para minimizar os danos do artigo 15, a regulação do Marco Civil pelo menos atrele a finalidade da organização e/ou aplicação à obrigação de guarda e estabeleça um patamar de faturamento para separar os provedores comerciais obrigados a guardar tais registros.

Outros pontos importantes a aprimorar que talvez já foram bem esclarecidos em contribuições sobre este artigo,  mas que valem ser repetidos, são: a) a necessidade de uma especificação sobre o que se entende por ambiente seguro, sem que, contudo, a especificação entre em detalhes de forma a favorecer determinados tipos de criptografia e medidas de segurança (empresas) em detrimento de outras; b) determinação de que tais registros devem ser descartados após os 6 meses de obrigação da guarda (salvo consentimento para guarda justificada ou requerimento judicial) e, por fim, c) é necessário respaldar que o entendimento de registro de acesso à aplicação trata-se somente do “conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP”, ou seja, hora, data e IP de quando o usuário entrou no aplicativo, nada mais que diga respeito a sua navegação no mesmo.

Referências:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf

https://antivigilancia.org/boletim_antivigilancia/9#corte_de_justica_da_uniao_europeia_invalida_diretiva_de_retencao_de_dados

https://antivigilancia.org/boletim_antivigilancia/9#marco_civil_e_aprovado_durante_o_netmundial_mas_ainda_precisa_ser_reguladoo_que_esses_dois_marcos_historicos_nos_dizem_sobre_a_protecao_da_privacidade_no_brasil

Discussão sobre a pauta

  1. Opinião
    Concordamos e subscrevemos a contribuição da autora.
  2. Opinião
    Gostei da ideia de categorizar as empresas por faturamento, mas também poderia ser por numero médio de acessos já que uma ONG poderia ter seu provedor e não ter “faturamento”.

    Um ponto que discordo é a não guarda dos dados de acesso para pequenas empresas. Considero isso uma brecha para a segurança de modo geral.
    – O tempo de guarda para esse pessoal menor deve ser de 15 dias no mínimo e vencido esse tempo os dados poderiam ser transferidos para outros servidoes (os Grandes) e então ficarem guardados por 6 meses. O financiamento desta guarda seria com a obrigação dos servidores Gigantes de fazer esta guarda, que não deve representar grande volume, pois os pequenos tem poucos acessos.
    – A tecnologia para processar esses dados, se muito complexa, poderia ser fornecido pelo próprio governo em código aberto. (não entendo desta tecnologia)
    + Desta maneira manteríamos a paridade da guarda dos dados. Agora quanto a parte técnica de gerar este banco inicial de 15 dias e como seria feita a transferência SEGURA destes dados para outros servidores não sei.