RONALDO LEMOS*, (com CARLOS AFFONSO P. DE SOUZA** e MARIO VIOLA***)

O Marco Civil da Internet vem sendo reconhecido não só no Brasil, mas também mundialmente, como uma lei avançada e exemplar com relação ao tratamento de direitos e deveres na rede. Neste momento, ocorre um amplo debate participativo sobre como deverá ser feita sua regulamentação por meio de decreto presidencial. 
Nesse sentido, o decreto deverá tratar de diversos pontos importantes, dando concretude aos dispositivos do Marco Civil. Um desses pontos é a guarda dos registros de acesso a aplicações. Trata-se de tema controvertido desde a origem. No entanto, é fundamental, já que diz respeito diretamente à dinâmica da proteção da pessoa e de seus dados pessoais. Ao mesmo tempo, relaciona-se com a necessidade de se contar com instrumentos para se aferir a autoria e a materialidade de condutas ilícitas na rede, auxiliando na observância da lei.

Esse equilíbrio é delicado e a decisão do decreto sobre como regulamentá-lo deverá levar em consideração todos os diversos interesses envolvidos. 

Por exemplo, uma questão a ser considerada é a significativa mudança recente na discussão a respeito da necessidade ou não de guarda desses registros para fins investigatórios e de observância. A esse respeito, em 2014 o Tribunal de Justiça da União Europeia declarou inválida a Diretiva Europeia relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrônicas publicamente disponíveis ou de rede públicas de comunicações (Diretiva 2006/24/CE). 

Dentre os principais motivos levantados pela referida decisão estão: (i) o fato de a Diretiva abranger de forma generalizada todos os indivíduos, não sendo efetuada uma diferenciação, limitação ou exceção em função do objetivo de luta contra condutas ilícitas na rede; (ii) a ausência de um critério objetivo por meio do qual venha a ser garantido às autoridades apenas acesso aos dados e que as mesmas só possam utilizá-los para atividades relacionadas com sua competência; (iii) ao impor o período de conservação de pelo menos seis meses, não se diferenciou entre categorias de dados em função das pessoas em questão ou da eventual utilidade do dado em face do objetivo perseguido; e (iv) a não previsão de garantias suficientes que permitam assegurar uma proteção eficaz dos dados contra riscos de abusos. 

Vários dos pontos levantados pela decisão europeia poderiam ser transpostos para a atual redação do artigo 15 do Marco Civil. Tal mudança de posição no ordenamento europeu leva ao questionamento sobre como e se se deve dar no Brasil sua efetiva regulamentação.

Vale lembrar ainda, na esteira de comentário feito pelo professor Danilo Doneda, que a medida constante do artigo 15 “é extrema, já que vai aumentar drasticamente o volume de dados pessoais armazenados como resultado da simples navegação na internet, além de tornar impossível a utilização de uma série de serviços voltados para a proteção da privacidade que foram elaborados justamente para não permitir a guarda de registros decorrente do seu uso”. 

Guardar mais dados significa não só mais custos para as empresas, mas também reduzir a proteção à privacidade dos usuários de internet, direito constitucional. Por isso a sua disciplina é tão delicada e deve buscar sempre ponderar os interesses em jogo. É preciso buscar uma forma de atender ao imperativo de investigação de condutas ilícitas na rede sem, no entanto, atacar a presunção de inocência e obrigar a guarda de dados de todos os usuários previamente. Esse é um dos maiores desafios da regulamentação. 

Uma opção frente ao dilema posto seria a presidente da República, em decisão fundada na prudência, não regular o artigo 15, dado o entendimento de que os seus termos constituem verdadeira norma de eficácia contida. Esse entendimento já foi inclusive consagrado pelo Tribunal de Justiça do Estado de São Paulo, que afirmou ser o dever de guarda de dados apenas exigível após sua regulamentação.

Assim, em vez da regulamentação apressada, a Presidência da República deveria promover um amplo estudo técnico e jurídico, incluindo a perspectiva do Direito comparado, para analisar ao menos dois pontos: a) como o tema vem sendo tratado em outros países; b) quais os impactos técnicos e jurídicos para o Brasil, os custos da guarda de logs e seus benefícios. Feita essa análise, ter-se-iam então padrões mínimos para que a regulamentação ocorresse sem o risco de que tais dispositivos coloquem o país em posição jurídica extravagante (contrária à tendência atual de proteção à privacidade), ou que os danos sejam maiores que os benefícios esperados.

 
Caso a regulamentação vá seguir em frente e apresentar os critérios e procedimentos respectivos para que a guarda de dados passe a ser exigível no país, algumas considerações podem auxiliar no debate.

O artigo 5º, inciso VII, do Marco Civil define aplicações de rede como “o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet”, ou seja, uma ampla classificação, podendo ser considerado qualquer site ou aplicativo. Adotando-se esta definição para os fins do que dispõe o artigo, pode-se acabar por gerar uma grande quantidade de armazenamento de dados desnecessários, trazendo um ônus financeiro exagerado, especialmente se considerarmos pequenos provedores de serviços e produtos.

Como dito, a posição de guardar logs vem sendo revertida. Exemplos importantes incluem o julgado do Tribunal Constitucional Federal Alemão, que em 2010 declarou inconstitucional a lei alemã de retenção de dados. E mais recentemente as decisões de corte na Holanda, com relação à lei do país de retenção de dados. Mostram que, no mínimo, o decreto deve adotar o princípio da mínima guarda possível. 

O que pode ser feito hoje por decreto – de forma a adequar o disposto no artigo 15 aos princípios norteadores do Marco Civil e de toda a lógica por trás da identificação dos responsáveis por violações de direitos de terceiros prevista nos artigos 18 a 21 – é estabelecer claramente contornos para a obrigação com relação à guarda dos registros de acesso a aplicações de internet, indicando que esta se aplica apenas aos provedores que hospedam conteúdo produzido pelos usuários.

Além de impor a obrigação de retenção de registro de acesso aos provedores de aplicação de internet, o artigo 15, em seu caput, ainda determina que os dados devem ser retidos por até seis meses, mas em momento algum estabelece o que deve ser feito com tais dados ao término desse tempo. A interpretação que se pode ter dessa previsão com o que dispõem os artigos 10 e 11 do Marco Civil é de que tais informações devem ser excluídas tão logo encerrado o prazo. 

Outro comentário a esse respeito é com relação à iminente emergência da economia ligada à chamada “internet das coisas”. Estima-se que bilhões de dispositivos estarão conectados e comunicando-se entre si sem a intervenção humana. Nesse contexto, é preciso repensar a obrigação de guarda de logs e registros dessas comunicações. Primeiro por conta de seu volume avassalador. Segundo, por conta das implicações para a privacidade. E terceiro porque a maior parte desses dados seria exorbitante para atividades de observância (enforcement) legal.

 
Desse modo, uma sugestão adicional ao decreto seria expressar claramente uma exceção à guarda de logs relativa a atividades relacionadas à chamada “internet das coisas”, incluindo-se aí uma exceção clara e precisa a respeito.