Art. 13 Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
§ 1° A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2° A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput.
§ 3° Na hipótese do § 2°, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4° O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2°, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo previsto no § 3°.
§ 5° Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6° Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
I – DOUTRINA
O que seria administrador de sistema autônomo? Conforme o art. 5o, inc. IV, do Marco Civil, é administrador
de sistema autônomo1 “a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País”. O administrador de sistema autônomo, em geral, são os provedores de acesso à internet que atribuem os endereços IP aos usuários que contratam os seus serviços.
Função do Administrador de Sistema Autônomo. Ao se atribuir o endereçamento de IP aos usuários, o Administrador de Sistema Autônomo, que não necessariamente se confunde com o provedor de conexão de acesso à internet, pode ser uma empresa de telecomunicações, possui informações cadastrais, registros de dispositivos informáticos (MAC Address, por exemplo), sistemas operacionais e geolocalizáveis de todos os usuários. Os provedores de acesso à internet possuem informações sobre quais aplicações o usuário acessou, hora, a discriminação e a quantidade de dados trafegadas por esses endereços. Nesse sentido, o administrador do sistema autônomo deve possuir uma política de segurança de informação que inviabilize a outrem ter acesso a essas informações que podem ferir a privacidade, intimidade e a vida privada dos usuários.
Prazo de 1 ano para a guarda dos registros de conexão. O registro dessas conexões determina quem acessou, quando acessou, de que máquina acessou e por quanto tempo ficou conectado à internet. Em caso de ilícitos, esses dados são importantíssimos para se determinar quem foi o autor das infrações. Contudo, por conta das ausências de regulamentações, que não foram criadas ainda, e da possibilidade de o prazo ir além de um ano, por requisição de autoridade policial ou administrativa, é que se critica veementemente esse prazo. O risco de possíveis ataques aos
direitos à privacidade, intimidade, vida privada e sigilo, pessoal e comercial, são enormes com essa falta de critérios e normas. Poderá, esperamos que não aconteça, um usuário ser monitorado por longo período de tempo, sem ter uma acusação formal e bem fundamentada.
O projeto de lei de Proteção de Dados Pessoais estipula que o tratamento e uso dos dados deverá ser feito por um breve período de tempo. Como o Marco Civil possibilita eles serem acessados por tempo indeterminado? Não existem estudos ou pareceres técnicos que sustentem que o prazo de um ano é o mais adequado para a guarda de registros de conexão. Nada justifica este período de tempo, pois, mesmo que pelo amor ao argumento, que seja para não atrapalhar uma investigação criminal, se ela necessita de um ano para encontrar provas contra o investigado, ela não se torna mais instrumento do Estado de Direito e sim do Estado de Vigilância e do Abuso de Direito.
§ 1o
A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros. O Marco Civil determina aos administradores de sistemas autônomos que sejam eles os responsáveis pela guarda dos registros de conexão. Além da questão de que essa responsabilidade gera um custo para eles, que serão repassados aos usuários, tornando a internet mais cara do que já é, os administradores de sistemas autônomo não necessariamente possuem estruturas robustas para poderem arcar com esta responsabilidade. Geralmente, esse serviço seria terceirizado para empresas especializadas em armazenamento e gerenciamento de dados sigilosos. Será que os administradores arcarão com os custos dessas estruturas de guarda de registros? Por que o Marco Civil não permitiu a terceirização com possibilidade de corresponsabilização desses terceiros, estruturando uma cadeia de atribuições? É questão de inclusão digital não onerar e criar obstáculos aos empreendedores e usuários de terem acesso à internet, mas parece que a visão de internet do Marco Civil não foi tão ampla a este ponto.
§ § 2o e 3o
A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput. Será recorrente nesse estudo sobre o Marco Civil o inconformismo com algumas normas existentes e o perfil bipolar desse marco regulatório. Proteção do Dados Pessoais, defesa privacidade, da intimidade e da vida privada não combinam, em nenhuma circunstância, com períodos indefinidos de acesso à registros de conexão de internet. Pior, os registros de conexão não são dados cadastrais não sensíveis. São dados pessoais que identificam e individualizam quem está acessando a internet com esse determinado endereço IP.
Soma-se a esses iminentes ataques frontais a direitos fundamentais a possibilidade de tudo isso ser feito sem ordem judicial. É a instauração efetiva e prática do Estado de vigilância de todos os usuários brasileiros, que já relegados a serviços de telecomunicações ruins, agora, na internet, são vítimas de normas que restringem seus direitos fundamentais em prol de uma fictícia segurança, que jamais saberemos se um dia virá.
Há que se fazer a reforma urgente do Marco Civil para que esse art. 13 seja reescrito, em respeito ao espírito que fez nascer esse marco regulatório, a Constituição Federal e todos os Tratados Internacionais de Direitos Humanos, que estão sendo atacados por essa vigilância constante e perene de autoridades policiais, administrativas e do Ministério Público brasileiro. Não há garantias constitucionais práticas aos usuários de que não ocorrerão procedimentos abusivos e de vigilância. A quem recorreremos se tudo será feito à revelia do Poder Judiciário? Que poder invisível o Marco Civil está criando?
Somente após 60 dias de investigação que as autoridades deverão ingressar com pedido de autorização judicial. Aí, já estarão consolidadas todas as invasões aos direitos dos usuários, legalmente justificáveis ou não, que podem atingir um universo tão amplo de possibilidades que não interessa mais se há necessidade de se entrar com pedido de autorização judicial. Talvez, as informações recebidas já tenham sido suficientes para essas autoridades nem
ingressarem com os pedidos. E a proteção e defesa dos usuários? Sem proteção de dados pessoais, caem todos os direitos fundamentais dos usuários que não possuem o acesso ao devido processo legal, a ampla defesa e ao contraditório. Tudo se transforma em quimera totalmente desconexa da realidade insegura.
§ § 4o e 5o
Manter sigilo dos requerimentos feitos pelas autoridades policiais e administrativas. Questão muito importante trazida pela internet e que está permeando mudanças estruturais de todo o Poder Judiciário, refere-se ao que é público e privado nos procedimentos judiciais e extrajudiciais. A essa discussão, e o que não tem sido realizada até o momento, insere-se a problematização do público e privado no âmbito dos inquéritos policiais e administrativos.
No processo judicial, várias medidas têm sido tomadas para equilibrar, no mundo das tecnologias de informação e comunicação, uma nova visão entre público e sigiloso. O acesso aos dados pessoais e processuais tornou-se mais fácil. O processo físico impedia a maioria das pessoas de ir ao fórum e pedir, aleatoriamente, um processo público de alguém. Eram muitas informações e obstáculos que impediam o acesso a um determinado processo. Era muito difícil o acúmulo de dados, que eram fragmentados, impedindo o cruzamento deles e a consequente realização de perfil.
Por outro lado, o fato do processo ser público e de certa forma acessível, permitia à cidadania lutar contra o arbítrio e o abuso de direito que pode ocorrer no exercício da atividade jurisdicional. O processo ser público era uma proteção da cidadania contra o arbítrio.
Com o advento da internet, a lógica dos obstáculos de informações e localização espacial não existe mais. O acesso é muito mais fácil, simples e direto de qualquer lugar do planeta. As ferramentas permitem analisar todos os conteúdos e informações existentes em cada processo. Entretanto, o direito da cidadania de lutar contra o arbítrio, protegido pelo acesso público aos processos, continua válido e cada dia mais necessário. Como conciliar essas duas situações? Em muitos casos, na prática, o Poder Judiciário vem legislando indevidamente, por meio da configuração de sistemas, tornando o processo mais sigiloso do que público. Isso o Poder Judiciário o fez sem consultar a sociedade e até mesmo sem se ater em como conciliar o público e o privado. Quais são os estudos que determinaram essa tomada de posição?
Em muitos casos, o que é público tornou-se privado sem a justificativa da proteção de dados pessoais das partes. Em muitas situações, o Poder Judiciário impede o acesso a todo processo, mas sem justificar as suas escolhas. Por exemplo, coisas simples poderiam ser implementadas e funcionariam muito bem, tal como a mudança da estrutura da petição inicial. A simples alteração nos requisitos da petição, técnicos e jurídicos, poderiam muito bem proteger as partes sem excluir os conteúdos que nela se inserem.
A esses desafios, bem ou mal, o Poder Judiciário vem enfrentando. Contudo, o Marco Civil estipula às autoridades policiais e administrativas pensarem nisso também. Aí, o problema torna-se gigantesco na prática. Ainda não temos inquéritos policiais e administrativos digitais. Somente o Conselho Nacional de Justiça (CNJ) possui, e alguns Conselhos de Contribuintes da Receita Federal. Como essas autoridades garantirão o sigilo dessas informações? Quem será o responsável em caso de vazamento de informações dessas autoridades? Quem indenizará as partes que tiverem prejuízos com o vazamento? O provedor entregará a informação de forma sigilosa? E quem o recebe, no caso as autoridades policial e administrativa, não tem o dever de guardar sigilo? E se a informação tornar-se pública, o provedor será responsabilizado? O Marco Civil somente mira seu alvo aos provedores e, muitas vezes, o problema encontra-se nos serviços públicos prestados pelo Estado brasileiro. E esse pelo Marco Civil não é responsável por nada.
Requisito obrigatório. São dois os requisitos obrigatórios que devem ser observados pelo provedor de aplicações de internet no cumprimento do envio desses dados. Os requisitos são o preenchimento do requerimento no prazo estipulado pelo § 3o de 60 dias e, cumulativamente, a autorização judicial para a investigação (§ 5o). Se não
preenchimento desses requisitos, forem entregues, o provedor de aplicações de internet poderá ser responsabilizado nas penas do art. 12 do Marco Civil.
§ 6o
Critérios para aplicação de sanções. Na aplicação de sanções o Marco Civil, em razão dos dados pessoais envolvidos, em caso de descumprimento, direciona esse § 6o para os magistrados que aplicarão as penas. Eles deverão
considerar “a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência”. E nesse sentido, com vistas a orientar os magistrados, o Marco Civil utilizou-se de critérios indeterminados e altamente discricionários, que poderiam servir de parâmetros para as decisões, mas impõem aos usuários um risco enorme. Não há segurança jurídica necessária para que os usuários possam confiar que os seus dados, mesmo que vazados, sejam recuperados ou que possa se responsabilizar quem cometeu o ilícito.
Por outro lado, qualquer infração que envolva dados pessoais, privacidade, intimidade e vida privada de uma pessoa é gravíssima e deve ser coibida em alta monta para o infrator. Em Marco Civil, qual é o critério de antecedentes do infrator? O que significa? Como avaliar um infrator que nunca cometeu nada e, num acesso de fúria, vazou 9 TB (terabytes) de informação de uma empresa de cartão de créditos? O antecedente será um benefício a ele, mesmo tendo cometido algo tão grave. E o mesmo pensamento pode se aplicar ao critério de reincidência. Diariamente, vemos empresas que têm os seus dados furtados, sem falar na administração pública. Como avaliar a reincidência numa área de negócios em que é previsto o vazamento de dados e que nada é seguro 100%?
Assim, torna-se de difícil a aplicação este § 6o, já que os critérios estabelecidos não avaliam como são os
comportamentos e as tecnologias de informação e comunicação envolvidas nesses casos.
II – JURISPRUDÊNCIA
“RESPONSABILIDADE CIVIL EXIBIÇÃO DE DOCUMENTOS Autora que pretende, com a presente medida, a exibição dos IP’s dos perfis indicados na inicial e conversas promovidas pelo aplicativo Whatsapp dos grupos que também indica. Deferimento ‘Conversas’ que apresentam conteúdo difamatório com relação à autora (inclusive montagem de fotografias de cunho pornográfico). Alegação da agravante de que não possui gerência sobre o Whatsapp (que, por seu turno, possui sede nos EUA). Descabimento. Notória a aquisição, pelo FACEBOOK (ora agravante) do referido aplicativo (que no Brasil, conta com mais de 30 milhões de usuários). Alegação de que o Whatsapp não possui representação em território nacional não impede o ajuizamento da medida em face do FACEBOOK (pessoa jurídica que possui representação no país, com registro na JUCESP e, como já dito, adquiriu o aplicativo referido). Serviço do Whatsapp amplamente difundido no Brasil Medida que, ademais, se restringe ao fornecimento dos IP’s dos perfis indicados pela autora, bem como o teor de conversas dos grupos (ATLÉTICA CHORUME e LIXO MACKENZISTA), no período indicado na inicial e relativos a notícias envolvendo a autora – Medida passível de cumprimento. Obrigatoriedade de armazenamento dessas informações que decorre do art. 13 da Lei 12.965/14 Decisão mantida Recurso improvido.”(TJ-SP, Agravo de Instrumento no: 2114774-24.2014, Relator: Salles Rossi, Data
de Julgamento: 1o-9-2014, 8a Câmara de Direito Privado)
1“Segundo Tannenbaum (2003) a Internet não é uma rede, e sim um conjunto delas. Pode-se dizer então que a Internet é um conjunto
Disponível em: <http://www.ulbra.inf.br/joomla/images/documentos/TCCs/2010_2/redes-carlos%20eduardo%20bloemker.pdf>. Acesso em: 26 nov. 2014.