Opinião & Análise

Internet

O Marco Civil da Internet e o dilema da ‘porta lógica’

Por que não devemos interpretar o dever de retenção de dados extensivamente?

Marco Civil da Internet
Crédito: Pixabay

De transações bancárias a novos aplicativos de paquera, a intermediação da internet em infinitas tarefas que realizamos cotidianamente impôs importantes desafios ao mundo jurídico em geral, e à ideia de responsabilização jurídica em particular. Saber o responsável por esta ou aquela conduta na rede tornou-se, portanto, uma demanda constante. Para isso, diferentes modelos regulatórios foram criados para garantir o acesso a determinados “rastros” capazes de identificar terminais e usuários. Perpassando as soluções jurídicas propostas por esses modelos estão frequentes embates entre valores jurídicos.

O “dilema da porta lógica” é mais um capítulo desses embates, que tem se intensificado nos últimos anos no Judiciário brasileiro. De um lado, argumenta-se que o Marco Civil da Internet (Lei no 12.965/14) obrigaria intermediários a reter o máximo de rastros digitais necessários para identificar conexões utilizadas em casos cíveis e criminais; de outro, argumenta-se que essa obrigação de retenção não deve extrapolar os limites estabelecidos em lei, sob pena de violar o direito à privacidade e gerar insegurança jurídica sobre o que deve ou não ser retido em nome da identificação de usuários. Mapear esse embate revela que, ao adotar interpretações extensivas do dever de retenção de dados estabelecido pelo Marco Civil da Internet, parte da jurisprudência ignora o seu custo para a proteção de direitos fundamentais, como o direito à privacidade e à liberdade de expressão.

O dever de reter dados e suas controvérsias internacionais

Além de estabelecer direitos e garantias para os usuários de internet no Brasil, o Marco Civil da Internet definiu regras que visam tornar possível, quando necessário, a identificação das conexões utilizadas pelos responsáveis por atividades na internet. Uma dessas regras consiste na obrigação de provedores de conexão e de aplicações de realizar a guarda obrigatória de algumas informações específicas de todos os seus usuários (“dever de retenção de dados”). Objeto de intensa controvérsia durante as discussões que instruíram o projeto, sua tramitação1 e a posterior regulamentação da lei2, o dever de retenção, isto é, o estabelecimento de um regime geral de conservação de dados antes mesmo da configuração ou suspeita de ato ilícito, visa a assegurar a possibilidade de obtenção dessas informações quando e se necessárias à responsabilização de usuários, à prevenção e repressão de crimes.

A retenção preventiva de dados referentes às conexões e acesso a aplicações de todos os usuários é um modelo que tem gerado frequentes debates a respeito de sua repercussão para o direito à privacidade. Na Europa, por exemplo, em 2014, a Diretiva 2006/24/EG, que impunha aos países-membro da União Europeia o dever de implementar a guarda obrigatória de dados de telecomunicações para fins de investigação criminal, foi invalidada pelo Tribunal de Justiça da União Europeia (TJUE), por limitar os direitos à vida privada e à proteção de dados pessoais de modo “desproporcional”. Mais uma vez, em 2016, o TJUE declarou que legislações nacionais que “estabeleça[m], com a finalidade de lutar contra a criminalidade, a conservação generalizada e indiferenciada de todos os dados de tráfego e localização de todos os assinantes e usuários […]” também estariam em desacordo com a Carta de Direitos Humanos da União Europeia e a Diretiva 2002/58/CE sobre privacidade e comunicações eletrônicas.3 Discussões similares levaram o Tribunal Federal Constitucional alemão a invalidar as obrigações de retenção de dados vigentes no país em 2014, exigindo a aprovação de uma nova lei, que restringia ainda mais as hipóteses de guarda e requisitos de acesso aos registros guardados, além de estabelecer deveres de transparência e regras de segurança.

A controvérsia brasileira: “portas lógicas” e o Marco Civil da Internet

No Brasil, também foram impostos limites à guarda obrigatória. Tais limites estão definidos no texto do Marco Civil da Internet e no Decreto 8.771/2016. Em seu artigo 13, o Marco Civil incumbe aos provedores de conexão a manutenção dos registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 ano. No artigo 15, determina ao provedor de aplicações de internet a manutenção dos registros de acesso a aplicações, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses. Além disso, os registros de conexão, i. e. “o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados” (art. 5, VI da Lei nº 12.965/2014), e os registros de acesso a aplicações, i. e. “o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP” (art. 5, VII da Lei nº 12.965/2014), somente podem ser disponibilizados ao requisitante se a entrega for autorizada por ordem judicial (art. 10, §1º da Lei nº 12.965/2014).

A controvérsia nasce porque nem sempre tais registros resolvem a demanda de identificação da conexão utilizada pelo responsável pelas atividades em questão em diferentes casos judiciais. Apesar da definição oferecida pela lei a respeito de quais são os dados que fazem parte do conjunto de registros que devem ser obrigatoriamente armazenados pelos provedores, o Poder Judiciário tem sido instado a decidir sobre a obrigatoriedade de guarda de outros tipos de registros, como a “porta lógica de origem”.

Mas o que é o registro da “porta lógica”? Esse registro está associado a um processo técnico de transição entre a versão antiga (chamada de IPv4) e a versão nova (IPv6) dos protocolos numéricos usados para o funcionamento da rede mundial de computadores (“endereço IP”). Com o crescimento contínuo da internet no mundo, os endereços no formato IPv4 estão próximos do esgotamento. Isso exige a transição para o formato de endereços IPv6, que garante a alocação de muitos mais endereços aos provedores. Enquanto essa transição não acontece, no formato IPv4, em alguns casos, endereços IP podem ser compartilhados entre usuários. A “porta lógica de origem” é um registro adicional a respeito dessas conexões, podendo ser útil para distinguir usuários que compartilhavam um mesmo endereço IP em uma mesma data e hora.

Por não fazer parte das definições de “registros de conexão” e de “registros de acesso a aplicações” previstas no art. 5o do Marco Civil, o registro sobre a “porta lógica de origem” é uma informação adicional ao que está textualmente determinado na lei. Isso gerou, então, a questão: o dever de retenção de dados no Brasil engloba os registros de porta lógica de origem?

A jurisprudência tem divergido a respeito da resposta. O Tribunal de Justiça de São Paulo, por exemplo, tem, reiteradamente, sedimentado uma interpretação extensiva do artigo 5º e incisos do Marco Civil da Internet, entendendo que a possibilidade prevista no artigo 10, § 1º – de que, mediante ordem judicial, os provedores podem ser obrigados a fornecer dados pessoais ou outras informações que possam contribuir para a identificação do usuário ou do terminal – autorizaria a exigência de entrega de registros referentes à porta lógica de origem. Em regra, parece prevalecer a ideia de que o avanço tecnológico e “natureza dinâmica da internet” teriam tornado “razoável interpretação extensiva dos incisos VI e VIII do artigo 5º da Lei nº 12.965/14, abarcando outras hipóteses não expressamente disciplinadas, sob pena de tornar prematuramente obsoleta a novel legislação” (Embargos de Declaração Cível nº 1064586-30.2017.8.26.0100/50000)4.

Interpretar extensivamente o Marco Civil coloca os direitos garantidos por ele em jogo

Ao contrário do que parece entender a corrente majoritária no TJSP, entretanto, o artigo 10 do Marco Civil se refere à entrega dos registros de conexão e de acesso a aplicações tal como definidos pelo artigo 5o, o que exclui quaisquer outros registros que não o endereço IP, data e hora. É apenas em relação a esses registros, inclusive, que se aplica a obrigatoriedade de retenção, nos termos dos artigos 13 e 15. A entrega de outros dados e registros só será possível, portanto, caso tenham sido voluntariamente armazenados pelos provedores uma vez que a lei permite que eles sejam descartados ou que não sejam sequer coletados.

O rigor que o Marco Civil da Internet empresta à definição do conjunto de informações abrangido pelo dever de retenção não é injustificado. Ele exprime a decisão do legislador a respeito de como conciliar o dever de retenção de dados com os direitos fundamentais à privacidade, intimidade e ao sigilo das comunicações. Não fosse assim estariam os provedores obrigados a armazenar todas e quaisquer outras informações que poderiam se tornar úteis na identificação de conexões, como dados sobre sistemas operacionais, marcas e modelos de dispositivos, etc.

Assim, ao definir quais as informações que devem ser obrigatoriamente armazenadas, o legislador traçou os limites necessários para que o dever de retenção não represente ofensa ao direito à privacidade dos usuários, tendo assumido, com isso, o risco de, eventualmente, não serem completos o suficiente em alguns casos. Na prática, o que se observa é que o conjunto de informações previsto no Marco Civil da Internet é suficiente para promover essa identificação na vasta maioria dos casos.

É o que a jurisprudência do STJ confirma: a mais recente decisão no tema, constante dos autos do REsp 1826221, reformou o acórdão proferido pelo Tribunal de Justiça do Estado de Minas Gerais, ao argumento de que a jurisprudência do STJ considera “o fornecimento do registro do número de protocolo (IP) dos computadores utilizados para cadastramento de contas na internet (…) meio satisfatório de identificação de usuários”. A tese é repetida nos REsp 1692680, REsp 1771870 e REsp 1714702. De forma minoritária, entretanto, começam a surgir decisões do STJ que ameaçam o rigor das balizas impostas pelo Marco Civil da Internet. No AREsp 1113061, o acórdão do Tribunal de Justiça de São Paulo, no qual se afirma que “não há na Lei n° 12.965/14 (Marco Civil da Internet) qualquer limitação de responsabilidade quanto às informações relativas às ‘portas lógicas de origem'” e que a recorrente não apresentou provas da impossibilidade de prestação da informação solicitada, foi mantido.5

O surgimento de decisões, sobretudo no âmbito do STJ, que autorizem a interpretação extensiva do dever de retenção de dados previsto no Marco Civil é preocupante. De um lado, porque o entendimento fere a autonomia privada ao autorizar o Poder Judiciário a impor obrigações sem previsão legal, submentendo os intermediários a uma enorme insegurança jurídica: se o dever de retenção se aplicar a tudo que for considerado como útil à identificação de terminais, como determinar o que deve e não deve ser armazenado? De outro, porque essa insegurança incentiva o armazenamento indiscriminado de quaisquer dados que possam ser úteis para auxiliar demandas de identificação de usuários, o que viola o direito à intimidade e vida privada, garantidos constitucionalmente. Com efeito, frisamos que, como no caso da Alemanha e de outros países, a implementação do dever de retenção dependeu do estabelecimento de limites e balizas claras. Sem isso, o Estado passa a ter a prerrogativa de exigir que sejam criados, preventivamente, enormes bancos de dados sobre todas as conexões e acesso a aplicações de internet no Brasil.

Nem toda informação que pode vir a ser útil à investigação e persecução criminal encontra respaldo para ser compulsoriamente coletada ou armazenada. Assim como seria inconstitucional determinar a coleta de material genético de todos os brasileiros para a formação de um complexo banco de dados de DNA, também é inconstitucional exigir que se mantenham, à disposição das autoridades de investigação, informações que extrapolem o texto da lei e, consequentemente, os limites impostos pela Constituição Federal ao garantir o direito à privacidade.

_________________________________________________________________

Cf. Brito Cruz, Francisco. Direito, democracia e cultura digital. Direito, democracia e cultura digital: a experiência de elaboração legislativa do Marco Civil da Internet. 2015. 138 p. Dissertação (Mestrado em Filosofia e Teoria Geral do Direito) – Faculdade de Direito, Universidade de São Paulo, 2015.

Jacqueline de Souza Abreu, Guarda obrigatória de registros de telecomunicações no Brasil: sobre as origens da retenção de dados e as perspectivas para direitos fundamentais, IV Simpósio Internacional LAVITS, disponível em http://lavits.org/wp-content/uploads/2017/08/P5_De_Souza_Abreu.pdf

Outro exemplo: Apelação Cível nº 1128561-60.2016.8.26.0100.

5 “A irresignação não merece prosperar. Nas razões do apelo nobre, sustenta a recorrente malferimento aos arts. 5º, VIII e 15, caput, ambos da Lei n. 12.965/2015, ao argumento de que (…) por força da Lei n° 12.965/14, a MICROSOFT é obrigada a manter apenas os registros de acesso, definidos pela legislação como o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP e que a ‘porta lógica de origem’ não consta do projeto de lei ou da própria Lei n° 12.965/14. Não há como impor à recorrente a obrigação de exibir uma informação que sequer existia no mundo até o início do esgotamento das combinações de IPv4 (fls. 312-313). Contudo, o eg. TJ-SP assentou que ‘contrariamente ao alegado, não há na Lei n° 12.965/14 (Marco Civil da Internet) qualquer limitação de responsabilidade quanto às informações relativas às ‘portas lógicas de origem’ (fl. 301) e que a recorrente não apresentou provas ou dados ao processo que corroborassem a mera afirmação de impossibilidade de prestação da informação solicitada, mantendo a decisão que concedeu a antecipação de tutela pleiteada nos autos. ‘Por sua vez, no apelo nobre em exame, a ora recorrente não impugnou propriamente o fundamento ora transcrito, em especial, quanto à carência de provas carreadas aos autos que corroborassem a alegada impossibilidade de prestação das informações requeridas, provas estas que poderiam ensejar eventual reforma da decisão que deferiu a tutela antecipada em discussão.’ Nesse cenário, havendo fundamento autônomo e suficiente, por si só, para manter o v. acórdão local, o apelo nobre em liça encontra óbice na Súmula n. 283 do STF, aplicada por analogia.” (STJ. AREsp 1113061. Relator Ministro Lázaro Guimarães. D.j. 24.11.2017).


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito