Pauta em discussão

Prazo encerrado

Comentários ITSrio.org – Artigo 15

Discussão criada por ITS - Instituto de Tecnologia & Sociedade do Rio de Janeiro em 31/03/15

Tema: Guarda de Registros

A guarda dos registros de acesso a aplicações é tema controvertido e que acompanha a evolução da dinâmica que coloca a proteção da pessoa e de seus dados de um lado e a necessidade de se contar com instrumentos para aferir a autoria e a materialidade de condutas ilícitas na rede de outro. Esse equilíbrio é delicado e decisões sobre tema precisam levar em consideração todos os interesses envolvidos.

Em 2014 o Tribunal de Justiça da União Europeia declarou inválida a Diretiva relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrônicas publicamente disponíveis ou de rede públicas de comunicações (Diretiva 2006/24/CE).

Dentre os principais motivos levantados pela referida decisão estão: (i) o fato da Diretiva abranger de forma generalizada todos os indivíduos, não sendo efetuada uma diferenciação, limitação ou exceção em função do objetivo de luta contra condutas ilícitas na rede; (ii) a ausência de um critério objetivo por meio do qual venha a ser garantido às autoridades competentes apenas acesso aos dados e que as mesmas só possam utilizá-los para atividades relacionadas com sua competência; (iii) ao impor o período de conservação de pelo menos seis meses, não se diferenciou entre categorias de dados em função das pessoas em questão ou da eventual utilidade do dado em face do objetivo perseguido; e (iv) a não previsão de garantias suficientes que permitam assegurar uma proteção eficaz dos dados contra os riscos de abusos.

Vários dos pontos levantados pela decisão europeia poderiam ser transpostos para a atual redação do artigo 15 do Marco Civil, o que leva ao questionamento sobre a sua efetiva regulamentação.

Vale lembrar ainda, na esteira de comentário realizado pelo professor Danilo Doneda, que a medida constante do artigo 15 do Marco Civil “é extrema já que ela vai aumentar drasticamente o volume de dados pessoais armazenados como resultado da simples navegação na Internet, além de de tornar impossível a utilização de uma série de serviços voltados para a proteção da privacidade que foram elaborados justamente para não permitir a guarda de registros decorrente do seu uso”.

Guardar mais dados significa mais custos para as empresas, mas também aumenta a exposição dos usuários de Internet. Por isso a sua disciplina é tão delicada e deve buscar sempre ponderar os interesses em jogo. Buscar uma forma de atender ao imperativo de investigação de condutas ilícitas na rede, sem inverter a presunção de inocência e obrigar a guarda de dados de todos é um dos maiores desafios da regulação da rede.

Uma opção frente ao dilema posto seria simplesmente não regular o artigo 15 do Marco Civil, fazendo eco assim ao entendimento de que os seus termos constituem verdadeira norma de eficácia contida. Esse entendimento já foi inclusive consagrado pelo Tribunal de Justiça do Estado de São Paulo, que afirmou ser o dever de guarda de dados apenas exigível após sua regulamentação.

Caso a regulamentação opte por seguir em frente e apresentar os critérios e procedimentos respectivos para que a guarda de dados passe a ser exigível no País, gostaríamos de apresentar algumas considerações que podem auxiliar no debate.

O art. 5º, inciso VII, do Marco Civil da Internet define aplicações de internet como “o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet”, ou seja, uma ampla classificação, podendo ser considerado qualquer site ou aplicativo. Adotando-se de forma ampla esta definição para os fins do que dispõe o art. 15 pode acabar por gerar uma grande quantidade de armazenamento de dados desnecessários, trazendo um ônus financeiro exagerado, especialmente se considerarmos pequenos provedores de serviços e produtos na Internet, já que sua atividade pode se basear em ‘funcionalidades que podem ser acessadas por meio de um terminal conectado à internet’.

Certamente que, de acordo com os princípios estabelecidos no Marco Civil e o princípio constitucional da privacidade, não deveria haver retenção prévia de qualquer tipo de dados por parte de qualquer provedor, garantindo assim a proteção da intimidade e da vida privada, bem como dos dados pessoais dos usuários.

Essa é, aliás, a tendência em diversos países que inicialmente adotaram leis que obrigavam provedores de serviços da sociedade da informação a armazenar registros de acessos. Esses países estão atualmente revertendo essa posição. Exemplos importantes incluem o julgado do Tribunal Constitucional Federal Alemão, que já em 2010 declarou inconstitucional a lei alemã de retenção de dados. Mais recentemente as decisões de corte na Holanda, com relação à lei holandesa de retenção de dados, e do Tribunal de Justiça Europeu, acima referida, considerou inválida a diretiva europeia de retenção de dados. Assim, o melhor caminho seria afastar de forma definitiva o dever de guarda dos registros de acessos, algo que não é factível em termos do Decreto, mas que deve servir de diretiva para que o decreto adote o princípio da mínima guarda possível de logs dos usuários.

O que pode ser feito hoje por Decreto, de forma a adequar o disposto no art. 15 aos princípios norteadores do Marco Civil da Internet e de toda a lógica por traz da identificação dos responsáveis por violações de direitos de terceiros prevista nos artigos 18 a 21, é estabelecer claramente contornos para a obrigação prevista no art. 15 com relação à guarda dos registros de acesso a aplicações de internet, indicando que esta se aplica apenas aos provedores de aplicações de internet que hospedam conteúdo produzido pelos usuários.

Desta maneira, evitar-se-á o armazenamento desnecessário – e indevido – de dados relativos a serviços que não abrigam conteúdo disponibilizado pelos usuários, tais como sites de comércio, serviços financeiros, ferramentas de marketing online, aplicações máquina a máquina (M2M) e sites sem interatividade. Importante salientar que, mesmo com relação aos serviços financeiros essa obrigação não se mostraria adequada sob o argumento de investigação de crimes de lavagem de dinheiro e de outros crimes financeiros, pois já há Lei que versa sobre o assunto e que obriga essas empresas a enviar informações relacionadas a movimentações financeiras ‘suspeitas’ para o COAF, o que tornaria desnecessária e redundante a guarda de registros de acesso.

Além de impor a obrigação de retenção de registro de acesso aos provedores de aplicação de internet, o art. 15, em seu caput, ainda determina que os dados devem ser retidos por até 6 meses, mas em momento algum estabelece o que deve ser feito com tais dados ao término dos 6 meses previstos em lei.

A interpretação sistemática que se pode ter dessa previsão com o que dispõem os artigos 10 e 11 do Marco Civil da Internet é de que tais informações devem ser excluídas tão logo encerrado o prazo de 6 meses para a guarda, salvo quando tais informações forem essencialmente necessárias para a prestação de determinado serviço aos usuários titulares dos dados objeto de retenção, situação essa que deverá ser explicitada no Decreto regulamentador.

Por fim, o mesmo art. 15 estabelece que durante os 6 meses de retenção dos dados indicados pela lei, tais registros de acesso devem ficar armazenados em “ambientes seguros”, porém não há especificação do que seria necessário para assegurar um “ambiente seguro”. Propõe-se, assim, considerando-se o respeito aos direitos da privacidade e da proteção dos dados pessoais dos usuários, que deve-se entender como ambiente seguro o armazenamento de dados de uma forma que dificulte o acesso indevido por terceiros a tais dados mediante a utilização de criptografia ou de outra tecnologia similar que garanta o mesmo nível de segurança e proteção amplamente reconhecidos.

Um outro comentário adicional a esse respeito é com relação à iminente emergência da economia ligada à chamada “internet das coisas”. Estima-se que bilhões de dispositivos estarão conectados à internet e comunicando-se entre si sem a intervenção humana. Essa é uma das principais tendências tecnológicas atuais, que já motivou ações do BNDES e do mercado no Brasil no sentido de aprofundar o desenvolvimento dessas capacidades no país.
Nesse contexto, é preciso repensar a obrigação de guarda de logs e registros dessas comunicações. Primeiro por conta de seu volume avassalador, o que geraria custos elevados e desproporcionais. Segundo, por conta das implicações para a privacidade. E terceiro porque a maior parte desses dados seria exorbitante para atividades de observância (“enforcement”) legal.
Desse modo, uma sugestão adicional ao Decreto seria expressar claramente uma exceção à guarda de logs relativa a atividades relacionadas à chamada “internet das coisas”, incluindo-se aí uma exceção clara e precisa a esse respeito.
Caso se entenda que esse tema envolve especialmente a questão dos contornos sobre a tutela dos dados pessoais potencialmente envolvidos na regulação da internet das coisas, valeria trazer o debate então para a elaboração do ante-projeto de lei sobre dados pessoais, atualmente em consulta pública através da Internet. De toda forma, dada a especificidade da tecnologia e suas rápidas transformações, vale ainda questionar se tal disciplina seria mais apropriada para uma lei federal, como a que se pretende aprovar sobre dados pessoais, ou para um Decreto, como o que aqui se discute nos limites da regulamentação do Marco Civil da Internet.

Discussão sobre a pauta

  1. Opinião
    Excelentes propostas!

    Por fim, o mesmo art. 15 estabelece que durante os 6 meses de retenção dos dados indicados pela lei, tais registros de acesso devem ficar armazenados em “ambientes seguros”, porém não há especificação do que seria necessário para assegurar um “ambiente seguro”. Propõe-se, assim, considerando-se o respeito aos direitos da privacidade e da proteção dos dados pessoais dos usuários, que deve-se entender como ambiente seguro o armazenamento de dados de uma forma que dificulte o acesso indevido por terceiros a tais dados mediante a utilização de criptografia ou de outra tecnologia similar que garanta o mesmo nível de segurança e proteção amplamente reconhecidos.

    Há uma pauta aberta sobre esse tema aqui: https://pensando.mj.gov.br/marcocivil/pauta/as-medidas-e-os-procedimentos-de-seguranca-art-10-%C2%A7-4o/