Art. 10 A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1° O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7°.
§ 2° O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7°.
§ 3° O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4° As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
I – DOUTRINA
Guarda e disponibilização dos registros de conexão e de acesso à aplicações de internet. O Marco Civil reconhece que, tecnicamente, a internet funciona como um sistema que reconhece e registra processos. E com a alta capacidade de sistemas e dispositivos informáticos de processarem e registrarem conexões e acessos, há um grave risco para a privacidade, a intimidade, a honra e a imagem das pessoas, tal como já foi dito anteriormente. Por isso, é importante se proteger jurídica e tecnicamente os dados que são amealhados pelos sistemas informatizados. Não é somente importante protegê-los formalmente, mas sim materialmente. Para tanto, os procedimentos de guarda de registros de conexão e acessos são muito importantes para a implementação dos direitos fundamentais transcritos neste caput. Sem procedimentos de segurança de informação não há segurança jurídica.
Como funciona a internet? O provedor de acesso à internet fornece uma série de IP (protocolos de internet) válidos (fixos ou dinâmicos), para que o usuário possa se conectar à internet. Assim, o usuário de internet, com o endereço IP atribuído pelo provedor de conexão, conecta-se com os provedores de aplicações de internet. O dispositivo de informação e comunicação, com o seu endereço IP já atribuído, conecta-se com os provedores de aplicações de internet desta forma: o IP 177.203.201.21 requer dados do IP 200.173.122.12, que é do sítio fictício <http://www.kant.com.br>. A requisição é compartilhada pelos roteadores,1 que definem os caminhos que o pedido de dados trafegará até o servidor que hospeda <http://www.kant.com.br>.
Cookies. Diante disso, o provedor de aplicações reconhece que o IP 177.203.201.21 está acessando o seu banco de dados. É comum esse provedor de aplicações de internet, a fim de ter uma troca mais rápido de dados entre o seu servidor e os dispositivos que requerem acesso, instalar pequenos programas no dispositivo informático do IP 177.203.201.21, que são chamados cookies. O cookie tem como função “notificar o site quando você voltar. Embora
seja possível sua utilização indevida quando armazenam dados pessoais, os cookies em si não são mal-intencionados”. Contudo, os cookies, além de registrarem as visitas dos usuários, “permitem guardar preferências e nomes de usuário, registrar produtos e serviços e ainda personalizar páginas”.2
Muitos provedores de aplicação de internet obrigam os usuários a permitirem que os cookies sejam instalados nos dispositivos. Entretanto, eles não informam quais informações estão obtendo e para que estão se utilizando dos cookies. Como prática comumente feita em serviços de internet, a omissão do Marco Civil sobre a regulação dos cookies, o que pode vir a ocorrer via regulamentação da lei, é preocupante e deixa os usuários à mercê de práticas obscuras e não transparentes de uso de dados, que podem registrar padrões de comportamento e uso de internet.
Roteadores. O roteador é um hardware importantíssimo para o funcionamento da internet. Como gerenciador das trocas de dados, o roteador possui em si todas as condições de registrar as conexões de acesso de todos os usuários a qualquer aplicação de internet. Contudo – o que não foi lembrado em nenhum momento pelo Marco Civil – os roteadores podem ser, mas geralmente não são, relacionados aos provedores de conexão à internet. Os roteadores são, sim, mantidos, construídos e desenvolvidos pelas empresas de telecomunicações. Assim, fica a dúvida, quem regula os registros produzidos pelos roteadores se não são os provedores de conexão e de aplicações de internet?
Muitas das interceptações ilegais de dados feitas são realizadas dentro dos roteadores e não nos provedores de conexão e aplicações de internet. A captura de dados é muito mais fácil e realizável dentro dos roteadores, bem como utili-zá-lo para gerar ataques de negação de serviço. Há a constatação recente de que mais de 500 mil roteadores estão vulneráveis a ataques no Brasil.3
Diante disso, existe uma grande lacuna de proteção de dados pessoais que são totalmente ignoradas pelo Marco Civil. A quem o usuário deve recorrer por conta do uso dessas informações que não estão em posse dos provedores de conexão e de aplicação? As empresas de telecomunicações poderão alegar que não estão sob a regulamentação do Marco Civil e sim das Lei Geral de Telecomunicações (LGT). Portanto, os usuários, titulares dos dados pessoais, estão totalmente desprotegidos por conta do funcionamento da internet que não é regulado pelo Marco Civil nem pela LGT.
§ § 1o e 2o
Ordem judicial para a entrega dos dados armazenados. O Marco Civil estipulou como princípio que os dados serão entregues somente com ordem judicial. Tal princípio está no compasso do que determina a Constituição Federal de 1988, porém amplia, inconstitucionalmente, à comunicação privada de dados a possível interceptação de dados pessoais.4 Contudo, existe o resguardo de legitimidade da ordem judicial que protege os usuários dos abusos indevidos nas interceptações de dados. A ressalva feita nesse parágrafo, com a necessidade de se respeitar o art. 7o do Marco
Civil, não é direcionada aos provedores, o que poderia ser entendida por conta da má redação da norma, mas sim à autoridade judicial, que emitirá o mandado de interceptação de dados.
Do Procedimento de Interceptação de Dados. O princípio do mandado judicial para a interceptação de dados gera um problema procedimental e prático, que pode inviabilizar a interceptação de dados.
Como não existe regulamentação do Marco Civil, para esse estudo vamos utilizar por analogia o procedimento existente na Lei de Interceptação Telefônica (Lei no 9.296/1996). O juiz deverá fundamentar a sua decisão sob pena de
nulidade da decisão que realizar a interceptação de dados e deverá ser por tempo determinado (art. 5o). Em caso de
interceptação de dados, os autos correrão em apartado do principal, sob sigilo de dados (art. 8o). Os dados
interceptados deverão ser colhidos e enviados automaticamente à autoridade judicial ou administrativa requisitante. Em futuro regulamento ao Marco Civil, deverá ser decidido se os dados que foram interceptados, deverão ser excluídos ou não dos servidores dos provedores de aplicação de internet. Na prática, os dados deverão ser mantidos no provedor de aplicações de internet e excluídos no processo judicial, tal como determina o art. 9 da Lei de Interceptação Telefônica. Respeita-se a garantia do investigado de não ser exposto, mas garante-se o direito de outros
usuários de buscarem informações, em caso de investigações reiteradas com as mesmas pessoas físicas ou jurídicas. Há a possibilidade que um mesmo usuário possa sofrer inúmeras investigações, sob as mais diversas matérias, no período determinado no Marco Civil. Portanto, os dados somente poderão ser totalmente excluídos dos servidores de aplicação de internet após o prazo prescricional determinado no Marco Civil.
O Problema Prático da Interceptação de Dados. Nesse passo, os dados interceptados deverão ser encaminhados diretamente à autoridade judicial ou administrativa, que requereu a medida constritiva. O provedor de aplicações de internet encaminhará automaticamente os dados, que poderão ser de 1 MB (um megabyte) até 100 GB (cem gigabytes). Ao se encaminhar esses dados, as autoridades judicial e administrativa estarão preparadas para recebê-los conforme determina a lei, sem devolvê-los ou impedi-los de serem entregues, por não terem banda de conexão suficiente para tamanho tráfego? Conforme se presencia atualmente, nenhuma autoridade judicial ou administrativa está preparada para suportar o fluxo de dados de uma interceptação legal de uma ligação telefônica ou de um vídeo contido em um servidor. A largura da banda de conexão para as autoridades judicial e administrativa é insuficiente para a demanda que virá com os pedidos de interceptação de dados.
Esse pensamento advém basicamente do volume de pedidos de interceptação telefônica atualmente pedidos e ordenados pelas autoridades judicial e administrativa. Em 2010, eram mais de 10.500 escutas telefônicas autorizadas por lei, conforme dados do CNJ.5 Novos dados ainda não foram divulgados desde então e, com certeza, são muito maiores. Como determinar a constrição de direitos fundamentais sem garantir os procedimentos de devido processo legal, contraditório e ampla defesa?
Esse é um problema grave e sem qualquer atenção existente no Poder Judiciário.
Pagar pela interceptação de dados? Ao estudar sobre os problemas levantados pelos massivos pedidos de interceptação de dados, um meio para se impedir esse excesso abusivo, e muitas vezes sem fundamentação para tanto, é o pagamento por pedidos de interceptação de dados. Nos EUA, cada interceptação possui um valor que varia entre US$ 300,00 e US$ 700,00 por alvo (interceptação).6 As empresas justificam esses preços afirmando que existem custos de funcionários para realizar esses serviços, bem como o risco legal de se fazer essas operações. E o aumento do custo com o Estado de vigilância poderia ser repassado aos usuários de internet, que poderiam ser cobrados, de uma forma ou de outra, por esses serviços de interceptação de dados.
O pagamento de valores nesses patamares mais a fundamentação dos pedidos judiciais feitos poderiam inibir a sanha invasiva do Estado e de pessoas, físicas ou jurídicas, em busca de dados de usuários de serviços de internet.
§ 3o
Dados cadastrais não protegidos por medidas judiciais. O Marco Civil, em relação aos dados cadastrais, retirou do âmbito da proteção das ordens judiciais a possibilidade de se ter acesso a essas informações. Dessa forma, o Marco Civil categoriza os dados cadastrais dos usuários (qualificação pessoal, filiação e endereço) como dados não sensíveis e, por isso, podem ser acessados por qualquer autoridade administrativa legalmente competente para a requisição. Qual seria essa autoridade administrativa? Não se sabe. A amplitude da norma é um fator de grande preocupação para os usuários, pois nada impede a uma autoridade do Ministério da Fazenda (vide o caso do Ministro Palocci)7 ter acesso a dados cadastrais sem a proteção da ordem judicial.
Outra pergunta, que somente poderá ser respondida pela Lei de Proteção de Dados Pessoais, é se o elenco trazido nesse inciso é numerus clausus (fechado) ou apertus (exemplificativo). Advoga-se, nesse trabalho, no sentido de considerar esse elenco (qualificação pessoal, filiação e endereço) numerus clausus a fim de se assegurar ao usuário maior proteção da privacidade e de sua intimidade. A restrição a esses direitos fundamentais só poderia ser realizada por meio de decisão judicial, e amplia-se inconstitucionalmente a qualquer autoridade administrativa a obtenção
desses dados sem quaisquer controles. Assim, considerar-se que esses dados cadastrais são exemplificativos daria uma discricionariedade ampla demais e que, com certeza, seria utilizada em prol da vigilância e do abuso.
O IP como dado cadastral. Discussão que será bem desenvolvida no projeto de Lei de Proteção de Dados Pessoais é se o endereço IP é ou não dado não sensível e, portanto, desprotegido da necessidade de ordem judicial. A priori, o endereço IP, tal como telefone, é uma atribuição lógica dada ao usuário para se conectar à internet. Tal atribuição lógica determina uma geolocalização e pode ser acessada por todos que o reconhecem. Contudo, com relação à internet, o endereço IP é muito mais que uma atribuição lógica, é um caminho aberto de possibilidades de se poder acessar muito mais dados do seu usuário. Se o usuário estiver num dispositivo móvel, o endereço IP informa onde ele está em todos os momentos. É com base no endereço IP que o usuário troca dados com servidores no mundo todo. E com base no endereço IP que padrões de comportamento (cookies) são traçados e personalizados. Será que, em tempos de big data, o endereço IP é somente um dado cadastral não sensível?
§ 4o
Políticas de Segurança de Informação. O Marco Civil não deixou nítido se as políticas de segurança de informação são integrantes dos contratos realizados entre os usuários e os provedores de acesso e aplicações de internet, mas numa interpretação sistemática, em face dos inúmeros artigos que versam sobre privacidade, honra e defesa da imagem, deveriam elas estar explícitas e definidas no ato da contratação dos serviços de internet. E se, utilizando da mesma lógica da proteção dos dados pessoais, a ausência das políticas de segurança de informação são provas contra os provedores de aplicações de internet, pois não estabelecem claramente quem são os responsáveis pelos dados trafegados, nem a forma como implementam a proteção deles.
II – JURISPRUDÊNCIA
“Obrigação de fazer. Fornecimento dos dados cadastrais de usuários administradores desautorizados de página da autora na plataforma Facebook. Alegação de que a obrigação é de impossível consumação, sem a precisa indicação do URL. Indevida inovação. Usuários, ademais, suficientemente identificados pela autora e que, ademais, estão vinculados ao serviço prestado pela ré e aos registros a ele atinentes. Perfis que não foram excluídos em cumprimento à liminar e nem se demonstrou que inexistentes os respectivos dados cadastrais, de obrigatória manutenção. Sentença mantida. Recurso desprovido.” (TJ-SP, Relator: Claudio Godoy, Data de Julgamento: 4-11- 2014, 1a Câmara Reservada de Direito Empresarial).
1Um Roteador é basicamente um gerenciador de Rede, um aparelho que se comunica a outros Roteadores do mundo inteiro,
informando os endereços dos sites de internet hospedados em um provedor, dividindo a localização para todos outros pontos no globo e monitorando todas as conexões do usuário ao provedor e deste para ele. Assim, os roteadores reconhecem que o usuário com o IP 177.203.201.21 quer acessar o banco de dados do IP 200.173.122.12.
2Disponível em: <http://www.microsoft.com/pt-br/security/resources/cookie-whatis.aspx>. Acesso em: 24 nov. 2014.
3Disponível em: <http://www.tecmundo.com.br/seguranca-de-dados/53198-no-brasil--500-mil-roteadores-encontram-se-vulneraveis-
a-ataques.htm>. Acesso em: 24 nov. 2014.
4Ver análise do art. 7o.
5Disponível em: <http://www.estadao.com.br/noticias/geral,brasil-tem-10-5-mil-escu-tas-telefonicas-em-curso,555498>. Acesso em:
6Lá como cá, existem as mesmas indagações sobre a vigilância de ligações e dados dos usuários. Disponível em:
<http://www.forbes.com/sites/andygreenberg/2012/04/03/these-are-the-prices-att-verizon-and-sprint-charge-for-cellphone- wiretaps/>. Acesso em: 25 nov. 2014.
7“A Caixa Econômica Federal informou à Justiça Federal que o responsável pela violação dos dados bancários do caseiro
Francenildo dos Santos Costa foi o gabinete do então ministro da Fazenda e hoje ministro da Casa Civil, Antonio Palocci, ao vazá- los para a imprensa.” Disponível em: <http://www1.folha.uol.com.br/fsp/poder/po2505201102.htm>. Acesso em: 25 nov. 2014.