- Marco Civil da Internet - https://pensando.mj.gov.br/marcocivil -
Escopo da Obrigação de Guarda do Artigo 15
Postado por Joana Varon em 31 de março de 2015 @ 21:36 na | 4 Interações
O artigo 15 é excessivo e controverso, além de ir na contramão da tendência da União Européia, onde os padrões de proteção à privacidade tem se elevado. Por lá, em abril de 2014 (mesmo mês de aprovação do Marco Civil) o Tribunal de Justiça proferiu um julgamento que declarou inválida a Diretiva 2006/24/EC que estabelece Retenção obrigatória de Dados de conexão. Na ocasião, ao analisar se a Diretiva atendia ao princípio da proporcionalidade, o julgado considerou que, embora a luta contra o crime, particularmente o crime organizado e o terrorismo, sejam de grande importância para a segurança pública, as medidas de retenção dos dados de conexão, inclusive metadados, devem ser consideradas desproporcionais. Também destacou que “mesmo que a diretiva não permita o acesso ao conteúdo das comunicações, seria razoável considerar que a retenção desse tipo de dados pode ter efeito no uso desses meios de comunicação e, consequentemente, na liberdade de expressão de seus usuários.”
Ainda assim, caso tal artigo seja regulado e colocado em prática, há de se minimizar os danos que ele pode causar não só aos usuários da rede, mas também ao futuro da pesquisa, desenvolvimento e inovação para a criação ferramentas de proteção à privacidade, um vez que o texto restringe que este tipo de atividade seja realizado apenas por provedores não comerciais.
Há de se destacar que a proteção à privacidade, inclusive por meio do desenvolvimento de tecnologias para o setor das Tecnologias de Informação e Comunicação, é parte do nosso discurso internacional e, inclusive, da nossa Política Cibernética de Defesa. Então fica a questão: porque restringir o surgimento de empresas nacionais (ou a inserção de tecnologias de empresas internacionais) voltadas ao desenvolvimento de ferramentas que protejam à privacidade de usuários? A guarda de registros de aplicação por 6 meses é algo que não condiz com tal finalidade, além de representar um custo extra para pequenas empresas que se veem obrigadas a instalar e manter seguros grandes bancos de dados que iriam além de seu modelo de negócios.
Nesse sentido, há que se delimitar melhor o escopo do artigo 15 ao definir a que tipo de provedores ele se aplica. O texto atual do marco civil já faz uma tentativa ao afirmar que a obrigação de guarda se estende a provedores de aplicação que são: “constituídos na forma de pessoa jurídica” e “exerçam essa atividade de forma organizada, profissionalmente e com fins econômicos”. Contudo, essa definição não exclui eventuais “start ups” que queriam se dedicar a aplicativos que protejam a privacidade e, portanto, operem pela lógica de minimização e proteção de dados armazenados.
Pelo contexto de sua concepção, e pela tentativa de delimitação do escopo, entende-se que o foco inicial do artigo 15 era simplesmente assegurar que provedores de aplicações de grande porte, que já armazenam registros, tivessem claro que devem submeter-se a obrigações de guarda e requerimentos de acesso a estes registros quando requisitados pelas autoridades nacionais. Em último caso, por uma questão de segurança jurídica do Estado brasileiro.
Assim, deixando de lado controvérsias sobre a constitucionalidade de tal medida, ou mesmo coerência com os princípios do próprio Marco Civil, fica claro que ampliar o escopo para provedores de qualquer porte pode ser ainda mais danoso. Sugere-se, portanto, que, para minimizar os danos do artigo 15, a regulação do Marco Civil pelo menos atrele a finalidade da organização e/ou aplicação à obrigação de guarda e estabeleça um patamar de faturamento para separar os provedores comerciais obrigados a guardar tais registros.
Outros pontos importantes a aprimorar que talvez já foram bem esclarecidos em contribuições sobre este artigo, mas que valem ser repetidos, são: a) a necessidade de uma especificação sobre o que se entende por ambiente seguro, sem que, contudo, a especificação entre em detalhes de forma a favorecer determinados tipos de criptografia e medidas de segurança (empresas) em detrimento de outras; b) determinação de que tais registros devem ser descartados após os 6 meses de obrigação da guarda (salvo consentimento para guarda justificada ou requerimento judicial) e, por fim, c) é necessário respaldar que o entendimento de registro de acesso à aplicação trata-se somente do “conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP”, ou seja, hora, data e IP de quando o usuário entrou no aplicativo, nada mais que diga respeito a sua navegação no mesmo.
Referências:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf
https://antivigilancia.org/boletim_antivigilancia/9#corte_de_justica_da_uniao_europeia_invalida_diretiva_de_retencao_de_dados
https://antivigilancia.org/boletim_antivigilancia/9#marco_civil_e_aprovado_durante_o_netmundial_mas_ainda_precisa_ser_reguladoo_que_esses_dois_marcos_historicos_nos_dizem_sobre_a_protecao_da_privacidade_no_brasil
Pauta impressa de Marco Civil da Internet: https://pensando.mj.gov.br/marcocivil
URL da pauta: https://pensando.mj.gov.br/marcocivil/pauta/escopo-da-obrigacao-de-guarda-do-artigo-15/
Click aqui para imprimir.
4 Interações para "Escopo da Obrigação de Guarda do Artigo 15"
2 Opniões
#1 Opinião de Barão de Itararé em 31 de março de 2015 @ 23:40
#2 Opinião de Eduardo em 27 de abril de 2015 @ 23:55
Um ponto que discordo é a não guarda dos dados de acesso para pequenas empresas. Considero isso uma brecha para a segurança de modo geral.
– O tempo de guarda para esse pessoal menor deve ser de 15 dias no mínimo e vencido esse tempo os dados poderiam ser transferidos para outros servidoes (os Grandes) e então ficarem guardados por 6 meses. O financiamento desta guarda seria com a obrigação dos servidores Gigantes de fazer esta guarda, que não deve representar grande volume, pois os pequenos tem poucos acessos.
– A tecnologia para processar esses dados, se muito complexa, poderia ser fornecido pelo próprio governo em código aberto. (não entendo desta tecnologia)
+ Desta maneira manteríamos a paridade da guarda dos dados. Agora quanto a parte técnica de gerar este banco inicial de 15 dias e como seria feita a transferência SEGURA destes dados para outros servidores não sei.