Art. 15 O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1° Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado.
§ 2° A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3° e 4° do art. 13.
§ 3° Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4° Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
I – DOUTRINA
Provedor de Aplicações. Provedor de Aplicações de internet é a pessoa jurídica que presta serviços ou comercializa produtos nas redes de informação e comunicação que não envolvam acesso e conexão lógica de usuários. Nomenclatura. Provedor de Aplicações é um termo confuso e complicado para designar as empresas que prestam serviços de internet. Aplicações referem-se a provedores de serviços, softwares, pessoas? Que tipo de aplicações estaremos analisando nesse artigo? Provedor de Aplicações não é o mesmo que o prestador de serviço que se utiliza de um serviço de cloud computing de terceiro para vender seus produtos e serviços. Há uma confusão feita pelo legislador do Marco Civil, em seu conjunto, entre pessoas, fins de todas as leis, e tecnologia, meios para se alcançar algo. Em termos de mercado, aplicações são softwares que realizam uma determinada função específica estipulada pelo provedor. Muitas vezes, esse provedor não cria aplicações para vender serviços e produtos. Aliás, até o próprio uso da palavra provedor, com a sua polissemia, denota e amplia os problemas e equívocos relacionados com a nomenclatura utilizada pelo legislador do Marco Civil.
Mesmo diante desse impasse conceitual totalmente indeterminado, a intenção da lei foi estipular regras para prestadores de serviços de internet com ou sem aplicações, o que deve ser considerado na análise deste artigo.
Deveres do Provedor de Aplicações. O Provedor de Aplicações, no exercício da sua atividade empresarial, além da busca do lucro e da prestação dos melhores serviços e produtos, deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança.
Como prestador de serviços, o Provedor de Aplicações, ao receber os usuários da internet que acessem o seu domínio, deverá guardar as informações relativas dele. Contudo, o art. 15 não determina quais informações deverão
ser guardadas ou não. O usuário de internet, quando requisita o acesso a um determinado sítio, conforme explicamos acima, traz consigo inúmeras informações, tais como o endereço IP, o navegador, geolocalização, sistema operacional e informações adicionais fornecidas por cookies.1
Quais informações devem ser guardadas? O art. 15 do Marco Civil não estipula, dentre essas informações que são obtidas pelos Provedores de Aplicações, quais devem ser as informações mantidas sob sigilo e quais devem ser protegidas, tal como determina o art. 7. Essa determinação do art. 15 torna-se ainda mais preocupante, pois ainda não temos uma lei de proteção de dados pessoais que delimite quais dados devem ser protegidos e quais são dados meramente cadastrais. Mesmo os dados cadastrais, na era das redes de informação e comunicação, podem constituir, se aglomerados em grandes quantidades, infrações ao direito à privacidade dos usuários.
Outrossim, num primeiro momento, os Provedores de Aplicações deverão guardar todas as informações para evitarem multas e sanções por parte do Poder Judiciário. Contudo, tal posicionamento, que salvaguarda a execução desse artigo, gera inúmeros conflitos para a efetividade do que pretende a lei: a) custos econômicos para se manter uma estrutura para atender essa demanda, que serão repassados para o preço dos serviços, tornando-os menos competitivos; b) e podem acarretar problemas para a proteção da privacidade dos usuários, que estarão sob riscos de terem informações sensíveis atacadas ou usadas por estas empresas.2
Informações guardadas sob sigilo em ambiente controlado e de segurança. É o primeiro artigo do Marco Civil que enfrenta a questão importante da Segurança de Informação. As informações a serem guardadas deverão estar não necessariamente criptografadas,3 mas codificadas a ponto de um usuário não ter acesso a elas. Só deverá ter acesso a autoridade, judicial ou não, que a requerer, delimitado o prazo de seis meses, mas que podem ser mais, conforme o § 3o que será analisado a seguir.
A forma como serão guardadas e apresentadas essas informações deverão estar contidas num regulamento a ser expedido, o qual não sabemos por quem. Será a Anatel, o Comitê Gestor da Internet ou o Ministério das Telecomunicações? Infelizmente, o Marco Civil se queda silente sobre a quem cabe regular infralegalmente a internet no Brasil, o que abre espaços para problemas jurídicos, principalmente no tocante à defesa da privacidade dos usuários. Guardam-se os dados, mas onde, de que forma e quem pode ter acesso a eles? A isso temos que esperar por uma regulamentação que não sabemos se virá.4
Na prática, antes do Marco Civil, inúmeros problemas são enfrentados pelos Provedores de Conexão e de Acesso. Por conta das especificidades técnicas da internet e da ausência desse conhecimento pelas autoridades, as informações requeridas, às vezes, não encontram relações com os serviços providos por esses prestadores de serviços. Aí os Provedores de Aplicações e de Acesso não sabem o que a autoridade está requerendo nem como entregar a informação. Mesmo o pedido requisitório dos provedores por mais informações e como disponibili-zá-las são vistos por essas autoridades como obstrução ao judiciário, que acaba aplicando multas por não cumprimento de decisão judicial, o que implica em mais custos além dos que são gerados pelos armazenamentos de dados e de uma equipe dedicada a responder a esses incidentes judiciais.
Estabelecer direitos e deveres sem os meios e garantias para o exercício deles é torná-los inócuos, inexequíveis. O Marco Civil, como “constituição” da internet, em muitos momentos, falha fragorosamente no estabelecimento de garantias para a fruição e apropriação dos direitos. Há sempre algo que não se resolve, que não se implementa por falta de regulamentação ou clareza normativa. E o caput do art. 15 caminha para essa direção de direitos e deveres que não têm direcionamento nem forma.
Prazo de seis meses. Por outro lado, a estipulação de um prazo definido para o recolhimento e guarda de dados é medida importante, pois impede à autoridade acumular informações indefinidamente sobre alguém, o que feriria o direito dos usuários à privacidade. Há sérias dúvidas se o prazo de seis meses também não seja excessivo à medida e não fere, com as práticas de gerenciamento de big data e a alta capacidade de processamento de dados, o direito à privacidade, à intimidade e vida privada. Investigar por seis meses qualquer cidadão é medida por demais intrusiva e
fora dos propósitos investigativos. A medida tem que ser de exceção e não de consolidação de um estado constante de vigilância. Qual é o intuito de tal dilação do prazo? Por que a autoridade precisa de tanto tempo para coibir um ato ilícito? A autoridade ficará sempre à espreita de alguém ser um possível criminoso futuro? O prazo de seis meses para guarda de informações sobre os usuários, informações as quais não se sabem quais sejam, coloca a todos como possíveis criminosos futuros de uma vigilância sem fim e sem razão. O ato ilícito deve ser perseguido e evitado de pronto e não estimulado por tanto tempo. O prazo fixado pelo Marco Civil deve ser revisto na jurisprudência, a fim de garantir direitos constitucionais dos cidadãos.
§ 1o
Provedores de Aplicações não sujeitos ao art. 15. O que o Marco Civil apresenta no caput pode não abranger a todos os prestadores de serviços de internet. Isso é uma contradição lógica do texto do Marco Civil. Existem outras empresas que não são Provedores de Aplicações? Quais são? Que serviços prestam? E nessas dúvidas, levantadas pelo próprio legislador do Marco Civil, que decorrem da falta de definição do que é Provedor de Aplicações de internet, surgem possibilidades e brechas que podem ampliar as interpretações da norma e abrir espaço gigantescos para arbítrios e abusos.
Tal comando impõe um desafio interpretativo, que pode obstruir a apropriação de direitos e das ferramentas necessárias para o usuário conhecer as informações obtidas e acessadas por autoridades, que veremos a seguir, não são somente judiciais, e quais as destinações dadas a elas. O Marco Civil deveria lutar contra o obscurantismo e não fazer ele crescer.
Tempo determinado. O caput determina que o prazo para a guarda de informações é de seis meses. O § 1o não
repete o mesmo mandamento nem faz referência a ele. Diante das possibilidades de abuso que essa lacuna pode oferecer, cremos que o limite imposto é o do caput, que deve ser respeitado, ressalvadas as críticas realizadas acima sobre o mesmo ser extenso e abusivo.
§ 2o
Autoridade Policial ou Administrativa ou o Ministério Público autorizados a pedir informações. As preocupações com a falta de quais informações deverão ser guardadas pelo Provedor de Aplicações, quem é esse Provedor de Aplicações e o tempo excessivo de seis meses estipulado pelo caput do art. 15 exponenciam-se no § 2o.
Os desvios interpretativos possíveis serão muito mais discricionários com a liberalidade de se outorgar à autoridade policial ou administrativa e ao Ministério Público o direito de requererem informações sobre os usuários, sem prazo determinado. É o Estado de Vigilância desenhado no caput que se realiza no § 2o.
Não haverão limites legais impostos aos mecanismos estatais de investigação para defender os usuários do vigilantismo e dos desvios à sua privacidade. No contexto do Marco Civil não há ferramentas, normativas ou digitais, estipuladas para que o usuário tenha acesso ao conteúdo das informações produzidas e guardadas por essas autoridades, cujo prazo é indefinido.
A proteção deficiente é um meio de obstrução de direitos e garantias constitucionais de onde o arbítrio se oxigena para expandir os seus espaços. O Marco Civil, no § 2o do art. 15, é porta de entrada para uma série de
possibilidades que não estariam no escopo inicial do projeto participativo, construído socialmente. O discurso de busca de igualdade social não se vê espelhado no texto desse artigo, que se distancia das lutas que ensejaram esta “constituição” da internet.
Quem seriam as Autoridades Administrativas? A problemática redação desse § 2o é constatada por conceitos
jurídicos vagos e indeterminados, tais como o que seria Autoridade Administrativa. Autoridade Administrativa seria o chefe de gabinete da Presidência, cartorário, ministro de Estado, secretário municipal etc.? Quem é? São todos esses?
Se forem todos esses ou mais, nada impedirá a um serventuário do Estado de esticar as suas atribuições legais, de exigir do Provedor de Aplicações que investigue, por tempo indeterminado, um familiar, um concorrente do estabelecimento público ou um chefe de Estado para uma campanha política. Nada impede, pois, mesmo com a autoridade judicial, que ocorra uma assunção, sempre perene, aos pedidos feitos por essas autoridades, sem quaisquer análises mais profundas, para coibir os possíveis abusos, que serão cometidos em nome de uma redação malfeita e vaga do Marco Civil.
Prazo superior ao previsto no caput. Argumentou-se acima que o prazo de seis meses seria preocupante, pois não há razão para um ilícito ser conservado, estimulado e aguardado no tempo. O § 1o, com a sua omissão ao não fixar
o prazo para a guarda dos dados, flertou com o prazo além dos seis meses, mas não foi adiante. O § 2o, ao contrário,
com essa redação, consolidou furtivamente a ampliação do prazo por mais de seis meses. Por prazo superior, mas não limitado até quando. Nada impede que a Autoridade Administrativa requeira a guarda de dados por um Provedor de Aplicações por 2, 3, 4, 10 anos. Qual é a restrição? Nenhuma.5 É a consolidação plena do Estado de Vigilância no qual o cidadão fica enredado por uma malha de poderes, que o circundam, sem ter acesso aos processos decisórios e investigativos, suas fundamentações, sua legalidade. O prazo indeterminado de investigação a uma Autoridade Administrativa é fazer reviver a angústia de Josef K., do livro O processo, de Franz Kafka, em cada cidadão. Expô-lo cada vez mais a práticas de vigilância e comercialização de seus dados nas redes de informação e comunicação.
§ 3o
Autorização judicial para a requisição. Diante dos riscos apresentados acima, por conta da redação vaga e indeterminada do Marco Civil, estranha--se que a determinação de autorização judicial para se requerer os registros e informações guardadas só surja no § 3o desse artigo. Por que não foi inserida a referência à necessidade de autorização
judicial na redação do caput e dos próprios parágrafos? Por questão de economia e direcionamento interpretativo, a redação ficaria mais direta, clara e objetiva. Mas isso não ocorreu. O § 3o parece um apêndice do que intencionava o
legislador com esse artigo. E mesmo assim, com a determinação de autorização judicial, não há garantias práticas de que tais possibilidades ilícitas trazidas sejam coibidas.
Estrutura Técnica e Tecnológica de Apoio ao Magistrado. A despeito de se vigorar a determinação de que todos os requerimentos devam ser analisados por autoridade judicial, na prática, isso não enseja uma garantia efetiva para o cidadão de que desvios não ocorrerão. O Poder Judiciário, apesar dos esforços hercúleos para construir o Procedimento Eletrônico, não tem condições materiais e formais para decidir sobre questões relativas às tecnologias de informação e comunicação.
Antes de mais nada, o primeiro problema é o magistrado. O magistrado não tem conhecimento técnico mínimo para poder conduzir e entender o que seria uma prova válida juridicamente, quando ela é totalmente produzida em sistemas informatizados. O magistrado não sabe mais distinguir do falso e do verdadeiro. Pior, o magistrado não consegue ser um condutor da busca da verdade processual, quiçá da material. O magistrado está envolto numa formação a qual não foi direcionada para essas questões que agora lhe são exigidas. Não raro, magistrados assumem como verdadeiros atos dessas autoridades policiais e administrativas, sem análise mais aprofundada, por respeito institucional e não por conhecimento técnico do que foi feito. Assim, qualquer pedido feito por essas autoridades estão envoltos em suposta lisura institucional que a autoridade carrega consigo. Em questões estritamente técnicas, estes pré-conceitos institucionais inviabilizam a pacificação social e a busca da verdade.
O segundo problema relaciona-se ao apoio que o magistrado tem para conduzir questões técnicas de sistemas informatizados. O Poder Judiciário não tem estrutura para garantir que as provas a serem produzidas no processo eletrônico tenham condições de serem analisadas, respeitando o devido processo legal, o contraditório e a ampla defesa. Os peritos de sistemas informatizados raro possuírem formação acadêmica necessária para realizar a uma
determinada perícia. Para piorar, não existem orientações ou procedimentos preestabelecidos sobre quais as formas de se abordar o objeto a ser periciado, quais os softwares necessários para se obter a prova pretendida, não consegue traduzir o seu conhecimento técnico para as lides do processo e para o magistrado, enfim, uma série de problemas que afetam o apoio decisório e fundamento do magistrado.
O terceiro problema encontrado é que não há no procedimento eletrônico um lugar físico ou lógico construído e arquitetado para ser cadeia de custódia das perícias em sistemas informatizados. Os lugares onde ficam os computadores apreendidos são protegidos de acessos indevidos? Os computadores estão bem acondicionados para os dados não serem alterados por calor ou por mau armazenamento? O magistrado, sem esse apoio, não pode decidir sem ser questionado se a prova que define o caso não está garantida em sua inviolabilidade e não é válida para tanto. Em casos penais, por exemplo, só a dúvida já é passível para se libertar o réu (in dubio pro reo). Sem uma cadeia de custódia estruturada e garantidora do devido processo, do contraditório e da ampla defesa não há como prender ou condenar alguém que cometeu ilícitos por meio das tecnologias de informação e comunicação.
Diante desses casos apresentados, que não são exaustivos, não há como se acreditar que a autoridade judicial esteja preparada para garantir os direitos dos usuários da internet do vigilantismo e do arbítrio estatal e privado.
§ 4o
Circunstâncias Agravantes dos Descumprimentos. O § 4o define que os ilícitos e descumprimentos deverão
estabelecidos em razão da natureza e gravidade da infração, danos e vantagens auferidas. Esse parágrafo repete a mesma fórmula já trazida em leis penais e civis, bem como na doutrina. Melhor andaria o legislador se concentrasse as sanções ao final da lei, explicando e contextualizando o que seria gravidade da infração digital e quais as circunstâncias agravantes. Neste momento, cabe lembrar a opinião do saudoso Amaro Moraes Silva e Neto, que dizia preferir o delito informático ao delito real, pois os dados não geram riscos à vida. Com essa redação, é muito aberta à discricionariedade ao se interpretar essas infrações e existirá grandes probabilidades do risco de descumprimento do art. 15, gerando inúmeros problemas de segurança jurídica. E diante do que foi dito acima, sobre a falta de estrutura e conhecimento do Poder Judiciário sobre questões relacionadas às tecnologias de informação e comunicação, o cuidado com quem interpretará e fixará essas sanções por descumprimento deverão ser ainda maiores e a lição de Amaro Moraes Silva e Neto é mais do que salutar para a aplicação das sanções.
II – JURISPRUDÊNCIA
“RESPONSABILIDADE CIVIL. AÇÃO COMINATÓRIA. PERFIS OFENSIVOS. INSTAGRAM. [...] 2. Ainda que a agravante não tenha em seus bancos de informações os dados pessoais específicos do usuário ofensor tais como, número de identidade, CPF e endereço, não se pode negar que possui, por certo, estrutura de rastreamento qualificada para identificar o usuário. Ademais, a obrigação relacionada à guarda de ‘registros de conexão e de acesso’ foi, agora, disposta no art. 15, da Lei no 12.965/2014. 3. Examina-se no presente recurso estritamente a obrigação imposta, atinente ao
fornecimento dos dados pessoais dos usuários. A agravante trouxe indicativo de que forneceu os números de IP, referentes aos acessos dos usuários ofensores. Propõe a agravante a utilização do link http://registro.br/cgl-bin/whois, pelo qual, através dos números de IP’s fornecidos, poderia ser identificado o provedor de acesso à Internet e, por consequência, obtidos os dados pessoais dos usuários. […] Ao agir desta forma, incentiva a agravante o anonimato, o que não pode ser admitido. 5. Extensão do prazo para cumprimento da tutela. Recurso parcialmente provido para este fim.” (TJ-SP, Agravo de Instrumento no 139883-40.2014.8.26.0000, Relator: Carlos Alberto Garbi, Data de
“AÇÃO DE OBRIGAÇÃO DE FAZER C. C. INDENIZAÇÃO POR DANO MORAL Internet Facebook – Decisão que concede a antecipação dos efeitos da tutela obrigando a ré a fornecer os dados cadastrais do usuário responsável pela criação do perfil falso e do conteúdo ofensivo à autora Alegação da ré de que já não dispõe dos dados reclamados Fatos ocorridos antes da vigência da Lei no 12.965/14 (Marco Civil da Internet), cujo art. 15 obriga os provedores de conteúdo a armazenar as
informações por 6 (seis) meses Inexistência de prévia e formal notificação da ré para a preservação dos dados cadastrais do usuário Presunção de boa-fé da ré ao sustentar a impossibilidade de cumprimento da obrigação imposta Tutela antecipada revogada AGRAVO PROVIDO.” (TJ-SP – AI: 21083177320148260000, Relator: Alexandre Marcondes, Data de Julgamento: 26-8-2014, 3a Câmara
de Direito Privado, Data de Publicação: 8-9-2014)
“AÇÃO DE OBRIGAÇÃO DE FAZER C. C. INDENIZAÇÃO POR DANO MORAL Internet Facebook – Decisão que concede a antecipação dos efeitos da tutela obrigando a ré a fornecer os dados cadastrais do usuário responsável pela criação do perfil falso e do conteúdo ofensivo à autora Alegação da ré de que já não dispõe dos dados reclamados Fatos ocorridos antes da vigência da Lei