Contribuição do Centro de Tecnologia e Sociedade da FGV
DIREITO RIO sobre a proteção aos registros, aos dados pessoais e
às comunicações privadas, sobre a guarda de registros de
conexão e sobre a Guarda de Registros de Acesso a Aplicações de
Internet na Provisão de Aplicações.
O Centro de Tecnologia e Sociedade (CTS) da FGV DIREITO RIO tem o prazer de
apresentar comentários à consulta consulta aberta pelo Comitê Gestor da Internet,
buscando contribuir para que a regulamentação do Marco Civil da Internet reflita os
melhores argumentos acerca dos temas em discussão.
Especificação do dever de fornecer informações claras e completas para fins do art.
7°, VI e VIII do Marco Civil.
De acordo com o art. 7°, VI do Marco Civil, os provedores de conexão e de aplicações
têm a obrigação fornecer aos usuários "informações claras e completas constantes
dos contratos de prestação de serviços, com detalhamento sobre o regime de
proteção aos registros de conexão e aos registros de acesso a aplicações de internet,
bem como sobre práticas de gerenciamento da rede que possam afetar sua
qualidade". Isso inclui o direito do usuário de receber "informações claras e
completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados
pessoais", como explicitamente apontado pelo art. 7°, VIII do Marco Civil.
Para dar maior efetividade a esse dispositivo, o regulamento deve prever, no mínimo,
a obrigação do controlador de dados de fornecer informações claras e completas no
que diz respeito a: (i) a qualificação, domicílio ou estabelecimento do controlador de
dados; (ii) a finalidade do tratamento realizado; (iii) os dados que estão sendo
processados; (iv) os eventuais destinatários ou categorias de destinatários dos dados
pessoais; (v) e os meios pelos quais o titular dos dados deve poder exercer os seus
direitos. (ver Convenção 108, versão modernizada, art. 7 bis)
A necessidade de informações adicionais pode ser especificada por uma entidade
encarregada de avaliar a necessidade e proporcionalidade do tratamento de dados
pessoais (autoridade garantidora de dados pessoais), tal como se discute no
Anteprojeto de Lei para Proteção de Dados Pessoais.
A importância da existência de uma autoridade garantidora para a eficácia de
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
dispositivos do Marco Civil, a ser discutida no âmbito do Anteprojeto de Lei para
Proteção Dados Pessoais.
A existência de uma autoridade independente é geralmente considerada
instrumental para monitorar de forma eficaz e garantir o cumprimento das leis de
privacidade e proteção de dados. Além disso, a atribuição de funções de regulação a
tal autoridade parece ser essencial para encontrar um equilíbrio justo entre o direito
à proteção de dados e outros interesses legítimos, que existem em situações
específicas que não podem ser previstas pela legislação geral. A determinação de tal
equilíbrio pode demandar competências científicas e técnicas. Esta última exigência
parece ser particularmente relevante, à luz do Art. 10, §° 4 do Marco Civil, segundo o
qual “as medidas e os procedimentos de segurança e de sigilo devem ser informados
pelo responsável pela provisão de serviços de forma clara e atender a padrões
definidos em regulamento”. A definição de normas de segurança pode ser delegada a
consórcios industriais, mas precisa ser supervisi onada por autoridades públicas, de
modo a garantir que tais normas estejam em plena conformidade com as exigências
de interesse público.
Conforme observado pela OCDE, a implementação da proteção de dados é em
grande parte dependente da criação de autoridades de aplicação com a governança,
recursos e conhecimentos técnicos necessários para exercer as suas competências de
forma eficaz e para tomar decisões de forma imparcial e consistente (ver OECD
Guidelines governing the Protection of Privacy and Transborder Flows of Personal
Data (2013), artigo 19.c, disponivel em http://www.oecd.org/sti/ieconomy/2013oecd-privacy-guidelines.pdf). Neste sentido, é importante notar que as autoridades
de proteção de dados foram adotadas por todos os membros da Convenção 108, pela
maioria dos países membros da OCDE, bem como em dois países da América do Sul e
vários países africanos. Essas autoridades são obrigadas a agir com total
independência e imparcialidade, a ter todos os recursos necessários e ter os poderes
para, no mínimo: (i) monitorar e promover a proteção de dados; (ii) aconselhar o gov
erno, os controladores de dados e do público em geral sobre a forma mais eficaz de
proteger os dados pessoais; (iii) definir medidas de segurança contra riscos, tais como
o acesso acidental ou não autorizado, destruição, perda, utilização, modificação ou
divulgação de dados pessoais; (iv) investigar e intervir, sobretudo no que diz respeito
à adoção das medidas acima mencionadas pelos fornecedores e de uma definição de
um ambiente estritamente confidencial, controlado e seguro para a retenção de
registros de conexão na Internet; (v) emitir decisões – que podem ser objeto de
recurso aos tribunais – no que diz respeito a violações das disposições do quadro de
proteção de dados, sobretudo, a imposição de sanções administrativas; (vi) iniciar um
processo judicial, ou para chamar a atenção das autoridades judiciárias competentes
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
às violações da lei geral de proteção de dados; (vii) promover estudos e propor
normas tendentes à concretização d a proteção de dados e princípios de privacidade
no contexto das novas TIC e objetos interconectados.
Por último, é importante notar que a autoridade com competência para a proteção
de dados pessoais e proteção de privacidade deve ter a obrigação de publicar
periodicamente relatórios com suas atividades. Em particular, a autoridade
competente deverá produzir estatísticas sobre a conservação de dados gerados ou
tratados, no contexto da oferta de acesso à Internet e acesso a aplicativos de
Internet. Tais estatísticas desempenham um papel instrumental para analisar a
eficácia do quadro de proteção de dados. As estatísticas não devem conter dados
pessoais e devem incluir: (i) os casos em que as informações foram prestadas à
autoridade competente; (ii) o tempo entre a data em que os dados foram
conservados e a data em que as autoridades competentes solicitaram a transmissão
dos dados; (iii) os casos em que os pedidos de dados não puderam ser satisfeitos.
Interpretacão do consentimento
O art. 7°, inciso VII prescreve que os indivíduos têm direito ao “não fornecimento a
terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a
aplicações de internet, salvo mediante consentimento livre, expresso e informado ou
nas hipóteses previstas em lei”, enquanto o art. 7°, inciso IX, determina que é
necessário "consentimento expresso sobre coleta, uso, armazenamento e tratamento
de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas
contratuais".
Com efeito, a proteção de dados insiste no chamado direito à autodeterminação
informativa que garante a capacidade do indivíduo para determinar a divulgação e
uso de seus dados pessoais. O consentimento é uma condição essencial para permitir
que os indivíduos possam desfrutar plenamente o seu direito de autodeterminação,
tendo a possibilidade de autorizar (ou não) o uso e divulgação dos seus dados
pessoais - para um fim específico e por um período limitado. No entanto, Marco Civil
não define o termo "consentimento". Essa lacuna deve ser preenchida de forma a
garantir o pleno gozo do direito à privacidade e proteção dos dados pessoais.
O conceito de "consentimento" deve ser entendido como qualquer indicação
inequívoca de um desejo, por meio do qual o indivíduo expressa sua anuência em
relação ao tratamento de seus dados pessoais. A fim de seja considerada
"inequívoca", esta indicação deve ser uma declaração clara e afirmativa ou uma ação
significando a aceitação de um tratamento específico dos dados pessoais (ver Article
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
29 Working Party, Opinion 15/2011 on the definition of consent, disponível em:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf). Uma indicação inequívoca não deixa
nenhuma dúvida razoável quanto à expressão de acordo. Um comportamento a partir
do qual o consentimento pode ser razoavelmente concluído deve ser considerado
como uma expressão de consentimento. No entanto, o silêncio, a inatividade ou mera
utilização de um serviço não deve ser considerado como expressão de consentimento
explíci to necessário autorizar o tratamento de dados sensíveis (European Parliament
legislative resolution on the proposal for a General Data Protection Regulation emenda
8.
Disponível
em:
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA2014-0212+0+DOC+XML+V0//EN emenda 8).
O consentimento deve ser livre (ou seja, não-forçado), informado (o
consumidor/usuário deve estar munido de todas as informações de uma forma clara
e inteligível) e específico (ou seja, em relação a uma finalidade específica). A
liberdade de consentimento significa ausência de coerção ou intimidação, e é
particularmente relevante no que diz respeito a situações off-line, onde um indivíduo
pode estar expressando seu consentimento sob ameaça ou coação por empregador
ou potencial empregador, por exemplo.
Como afirmado pelo art. 7°, inciso VII do Marco Civil, cabe à futura lei de proteção de
dados a definição de condições excepcionais que permitam a utilização e divulgação
de dados pessoais sem o consentimento livre e esclarecido do indivíduo. Tais
condições excepcionais devem ser claramente especificadas e comprovadamente
necessárias e proporcionais para terem um objetivo legítimo.
Por último, é importante notar que o modelo de "aviso e consentimento", que se
baseia na definição preliminar do uso dos dados pessoais pelo controlador e na
anuência do titular não consegue enquadrar os desafios criados pela análise de
grandes volumes de dados (big data). A análise de grandes volumes de dados é feita
para extrair inferências ocultas em grandes conjuntos de dados. Por isso, não é
possível para o controlador de dados (responsável, na linguagem do APL) definir - ou
até mesmo ter uma compreensão clara - da finalidade de processamento de dados no
momento da coleta inicial.
Por outro lado, a complexidade do tratamento de grandes volumes de dados muitas
vezes não permite que os usuários realmente compreendam esse processamento e as
consequências potenciais das técnicas preditivas utilizadas. Assim, a expressão de um
"consentimento informado" em relação à análise de big data não é, a princípio
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
realista. Estes aspectos reduzem consideravelmente a eficácia de um modelo de
proteção de dados com base no consentimento do titular e sugerem o a pertinência
de uma avaliação da análise desses grandes volumes por um organismo
especializado, que tenha as competências técnicas e jurídicas necessárias para
entender as potenciais consequências negativas da análise. Deve-se incentivar o
debate público sobre o assunto, a fim de prever soluções regulamentares adequadas.
Princípio da legalidade e da finalidade, que deve também abranger a noção de
proporcionalidade (art 7, VIII) e acordo com o art. 7°, inciso VIII do Marco Civil, deve
haver “informações claras e completas sobre coleta, uso, armazenamento,
tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados
para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação;
e c) estejam especificadas nos contratos de prestação de serviços ou em termos de
uso de aplicações de internet”.
O princípio da finalidade, bem como o princípio da legalidade no tratamento dos
dados, estão claramente previstos pelo Marco Civil. No entanto, para fins de
regulamentação, pode-se levar em consideração marcos interpretativos que foram
surgindo em regimes juridicos ocidentais, particularmente no âmbito europeu:
(I) tratamento justo e legal. Isto significa que o tratamento deve ser feito de acordo
com uma lei de conhecimento público, formulada com clareza e precisão, e deve ser
necessário e proporcional para perseguir um objetivo legítimo. Além disso, o
tratamento deve ser explicado em termos claros, a fim de garantir a compreensão do
indivíduo da finalidade e das consequências potenciais da operação. Esse
entendimento é uma condição essencial para formar o consentimento. O tratamento
justo também é caracterizado pela identificação clara do responsável pelo
tratamento.
(II) os dados devem ser coletados para finalidades determinadas, explícitas e
legítimas, e não devem ser posteriormente tratados de forma incompatível com essas
finalidades. Isso significa que o tratamento de dados pode ser considerado como
legítimo apenas quando o objetivo e a duração dessa operação são claramente
especificadas com antecedência pelo controlador. O tratamento adicional dos dados
deve ser justificado por uma disposição legal ou por uma outra manifestação do
consentimento livre, informado e específico. O tratamento adicional também pode
ser admitido quando os dados pessoais são devidamente anonimizados, seguindo
padrões e procedimentos de anonimização aprovados pelas autoridades públicas
competentes. Deve-se ressalvar, entretanto, que os procedimentos de anonimização
têm eficácia questionável e merecem ser objeto de intenso e crítico debate.
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
Informações sobre técnicas de anonimização e seu debate na Europa podem ser
encontradas
em
http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
(III) adequados, pertinentes e não excessivos em relação aos fins para os quais foram
coletados e/ou tratados posteriormente. Isso significa que apenas os dados pessoais
que são necessárias para atingir o objectivo de processamento podem ser coletados
(IV) precisos e, se necessário, atualizados. Isso significa que o controlador deve tomar
todas as medidas razoáveis para garantir que os dados recolhidos sejam atuais e que
possíveis erros sejam corrigidos ou eliminados.
(V) e mantidos em forma identificável por tempo não superior ao necessário à
finalidade que justificou a coleta, ou para os quais são tratados posteriormente. Isto
significa que os dados devem ser eliminados após terem sido utilizados para a
duração limitada pré-definida de um modo específico. Quando o objetivo é definido
pelo responsável pelo tratamento deve ser indicada uma duração específica. Quando
o objetivo é previsto por lei, a duração deve ser definido por lei ou regulamento ou
por uma ordem judicial.
Exclusão de dados pessoais (art. 7, X) e oposição ao uso de dados pessoais em
situações incompatíveis com os princípios da necessidade e da finalidade (art. 7°,
VIII): No contexto da economia digital, as informações e dados pessoais gerados pelos
usuários têm um valor econômico. Plataformas e serviços online tornam-se atrativos
por serem oferecidos aos indivíduos aparentemente por um “custo zero”, porém seu
modelo de negócio se baseia no acesso às preferências e dados individuais. Por
consequência, o direito de exclusão dos dados pessoais deve poder ser exercido de
modo efetivo, respeitando os limites impostos em lei.
O art. 7° do Marco Civil trata dos direitos dos usuários da Internet, muitos deles
relativos à proteção de dados pessoais. O direito à autodeterminação informativa, no
qual a proteção de dados é baseada, confere alguns direitos subjetivos fundamentais
aos titulares dos dados pessoais (rights of the data subject).
(i) O direito de acessar seus dados pessoais e, eventualmente, corrigi-los ou eliminálos. Para que possa exercer esse direito de forma plena, a pessoa em questão tem o
direito de obter informações claras e inteligíveis do controlador de dados em relação
aos dados pessoais que estão sendo processados, sobre a finalidade para a qual
foram coletados, sobre a fonte por meio da qual foram coletados, sobre com quem
tais informações foram compartilhadas, e sobre a finalidade do processamento dos
dados.
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
(ii) O direito de oposição, que compreende o direito de se opor a decisões tomadas
usando dados pessoais tratados exclusivamente por meios automáticos, bem como o
direito de opor-se à continuação da utilização de dados pessoais para fins comerciais.
(iii) O direito de ter soluções eficazes em caso de violações. Isto significa que a lei
deve prever mecanismos de reparação adequados, bem como proporcionais e
dissuasivas. Além disso, a lei deve definir o procedimento padrão a ser seguido pelo
titular dos dados, a fim de solicitar ao controlador o acesso a seus dados pessoais e,
posteriormente, de acionar a autoridade competente, a fim de avaliar a
responsabilidade potencial do controlador em caso de abuso.
Para que haja coerência com o princípio da finalidade, expresso no inciso VIII do
artigo 7, o direito de exclusão dos dados deve poder ser exercido não somente no
momento do término da relação entre as partes, mas também quando o
consentimento para tratamento de dados seja retirado ou quando os dados não
sejam mais necessários para cumprir o propósito inicial que justificou a coleta e o
tratamento dos mesmos. Nesses casos, se não há nenhuma disposição legal
determinando a retenção dos dados, eles devem ser removidos e excluídos
automaticamente, sem necessidade de solicitação do usuário. Além disso, caso haja
uma solicitação, ela poderá ocorrer antes do final do prazo do contrato.
Efetividade dos requisitos de publicidade e clareza das politicas de uso (art. 7°, inciso
XI)
A relação entre usuários e plataformas ou provedores de conexão costuma ser
regulada por uma espécie de contrato de adesão conhecido no ambiente online
como “Termos de Uso” ou “Termos de Serviço”, que pode ser complementado por
outros documentos como a “Política de Privacidade” e os “Padrões da Comunidade”,
entre outros. Para o efetivo cumprimento do art. 7º, inciso XI, é preciso que esses
contratos sejam facilmente acessados e que expressem com clareza o tratamento de
dados e de conteúdo que possa implicar em restrição de direitos dos usuários.
Além das implicações decorrentes da relação de consumo característica dessa
interação, esses contratos podem impactar em direitos fundamentais como a
privacidade e a liberdade de expressão. O art. 7º, inciso XI, do Marco Civil garante
que as políticas de uso dos provedores de conexão à internet e de aplicações devem
ser publicadas e explicitadas com clareza. Dessa forma, entende-se que, uma vez
consciente da política de uso a que está sujeito, o usuário poderá eleger os serviços
que melhor atendem aos seus interesses e respeitam seus direitos, bem como se
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
comportar de forma consciente e condizente com suas escolhas em relação à
exposição pessoal e manifestação do seu pensamento online.
No entanto, esses documentos costumam ser longos e redigidos em linguagem
jurídica e pouco acessível para o usuário comum. Segundo um estudo da
Universidade de Carnegie Mellon, nos Estados Unidos, um usuário deveria reservar
8h diárias e 76 dias para ler somente as Políticas de Privacidade de uma média de
1.462 páginas visitadas em um ano. No caso de alguns serviços, pode ser difícil até
mesmo de encontrar as políticas relevantes ou de identificar quais são aquelas com
as quais o usuário se compromete ao acessar uma plataforma.
Além disso, esses contratos fazem uso de expressões genéricas e ambíguas, que
impedem que o usuário conheça a real abrangência dos termos a que está se
submetendo e seus impactos sobre os direitos individuais e coletivos na utilização da
internet.
Não raras vezes, esses documentos prevêem, ainda, a possibilidade de sua alteração
unilateral pela plataforma sem garantir a preservação das condições iniciais aceitas
pelo usuário ou, em casos ainda mais extremos, sem oferecer qualquer tempo hábil
para notificação e aceite (consentimento) do usuário, estabelecendo que a mera
utilização após a mudança implicaria na aceitação irrestrita de todas as condições
alteradas. Em muitos casos, o contrato inicialmente acordado sequer é
disponibilizado para consulta ou download, impedindo qualquer forma de controle
das condições estabelecidas entre as partes.
De modo geral, os termos de uso e documentos correlatos manifestam a intenção de
proteger as empresas contra eventuais disputas judiciais – inclusive eximindo-as de
responsabilidade em certas situações – e colocam em segundo plano o oferecimento
de informações claras e relevantes aos usuários sobre seus direitos, como seus dados
pessoais são tratados e como seus conteúdos podem ser afetados pelas políticas da
plataforma.
A título de exemplo, é bastante comum encontrar cláusulas afirmando que todos os
riscos provenientes do uso da plataforma são assumidos inteiramente pelo usuário e
que as plataformas podem suspender seus serviços a qualquer tempo e por qualquer
razão, com ou sem a notificação de seus usuários e sem oferecer qualquer garantia
de backup de seus dados e conteúdos pessoais. Há casos em que é estabelecido,
ainda, um valor máximo a ser indenizado ao usuário na eventual hipótese de a
plataforma ser condenada em ação judicial, que costuma consistir em cerca de cem
dólares.
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
Embora no Brasil o efeito de cláusulas abusivas seja amenizado por uma
interpretação restritiva do princípio de autonomia da vontade decorrente, por
exemplo, das regras contidas no Código Brasileiro de Defesa do Consumidor (Lei
8078/1990), que declara as declara nulas de pleno direito, as barreiras para o
exercício de direitos podem persistir, já que em casos de abusos a vítima deve
recorrer à Justiça para ter seus direitos reconhecidos.
Além disso, o ambiente online tem particularidades que podem ser devidamente
exploradas no sentido de se garantir que obrigações concretas em termos de
transparência sejam observadas.
A necessária regulamentação dos requisitos de publicidade e clareza estabelecidos no
Marco Civil (a fim de conferí-los exequibilidade) não precisa e nem deve estar
congelada em uma norma de difícil alteração, mas deve ser flexível no sentido de
acompanhar as inovações tecnológicas, adequando a interpretação do alcance desses
requisitos às especificidades das diferentes ferramentas e serviços online, que
experimentam constantes inovações. Nesse sentido, a previsão de uma autoridade
garantidora viabilizará o estabelecimento de parâmetros claros que permitam a
implementação dos princípios garantidos no Marco Civil, bem como mecanismos de
controle de seu cumprimento.
Algumas das questões a serem tratadas seriam: (i) a garantia de que as plataformas
online disponibilizem de forma gratuita e independente da criação de uma conta os
Termos de Uso, Políticas de Privacidade e demais documentos legais que regem sua
relação com os usuários; (ii) o uso de uma linguagem acessível nos contratos; (iii) o
estabelecimento de compromissos claros com a garantia dos direitos do cidadão
utilizando-se de exemplos, glossários, ícones, hiperlinks e outros elementos
explicativos que ajudem a tornar o contrato mais acessível para o usuário comum, e;
(iv) a garantia de que o usuário tenha acesso às versões anteriores do contrato,
especialmente àquelas referentes ao momento em que se cadastrou na plataforma, e
que possa visualizar as alterações posteriores com facilidade e transparência,
gozando de tempo hábil para efetuar escolhas conscientes em relação às mudanças.
Ressaltamos, por fim, que todos os países da União Européia contam com
autoridades garantidoras. Alguns deles possuem uma autoridade de supervisão geral,
com a função de garantir o monitoramento e o respeito à legislação de proteção de
dados dentro de seus territórios. Outros possuem uma autoridade de competência
geral, e outras agências para setores específicos, como saúde, correios e
telecomunicações.
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
Em alguns casos, foram criadas autoridades em âmbito nacional que supervisionam
autoridades regionais ou estaduais. Ademais, em alguns casos, existe o papel do
“ombudsman”, que complementarmente também exerce um papel importante na
proteção de dados pessoais. Uma característica comum entre tais autoridades,
contudo, é a independência funcional das autoridades, que de acordo com a Diretiva
de Proteção de Dados e o Protocolo Adicional à Convenção para a Proteção das
Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal
deve ser completa, no sentido de que seus poderes de decisão devem ser
independentes, e livres de quaisquer influências diretas ou indiretas.
No Brasil, o estabelecimento de uma autoridade garantidora se mostra fundamental
para estabelecer esses padrões relativos à publicidade, clareza e acessibilidade dos
termos de uso, visando promover a responsabilização das plataformas online e
garantir que esses contratos estejam em conformidade com os direitos garantidos na
legislação brasileira. Dessa forma, se pode promover maior equilíbrio nas relações
entre usuários e plataformas e garantir que os cidadãos tomem decisões mais
conscientes sobre sua adesão aos diversos serviços disponíveis via Internet, além de
facilitar o cumprimento das diretrizes do Marco Civil pelos provedores de serviço e
plataformas online.
Medidas de verificacão do cumprimento da legislação brasileira (art. 11º, paragrafo
3).
O Marco Civil prevê no artigo 11º, parágrafo 3º que “os provedores de conexão e de
aplicações de internet deverão prestar, na forma da regulamentação, informações
que permitam a verificação quanto ao cumprimento da legislação brasileira referente
à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto
ao respeito à privacidade e ao sigilo de comunicações”.
Cabe à regulamentação, portanto, determinar a forma como se cumprirá o referido
parágrafo 3º. Se por um lado é necessário garantir que os provedores prestem
informações claras quanto ao tratamento de dados pessoais ou comunicações e
estabelecer padrões de transparência e acessibilidade aos contratos de adesão
online, os chamados Termos de Uso, é importante determinar como será feita a
prestação de informações sobre o cumprimento da legislação brasileira e o respeito
dos direitos fundamentais dos usuários.
Considerando que o Marco Civil cria obrigações com respeito à guarda de registros de
conexão e acesso e que estabelece regras quanto à proteção e a disponibilização de
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
dados pessoais, os usuários devem ter condições de acompanhar e monitorar como
essas medidas estão sendo cumpridas. Cabe à regulamentação, portanto, determinar
um formato e periodicidade para a publicação de relatórios de transparência por
meio dos quais se possa ter acesso a informações estatísticas relevantes relativas aos
pedidos de acesso a dados pessoais, comunicações pessoais e registros por parte de
autoridades públicas ou agentes privados. Tais relatórios periódicos deveriam ser
separados segundo o solicitante (poder público/entes privados) e conter ao menos:
(i) O número total de solicitações de dados pessoais recebido; (ii) O número de contas
afetadas por tais solicitações; (iii) Informações sobre o solicitante dos dados
(autoridades legais, investigadores privados , empresas, indivíduos, etc.); (iv) Detalhes
sobre os pedidos recebidos de autoridades legais, como por exemplo a
fundamentação legal para a solicitação; (v) Informações sobre se a demanda se
referia a conteúdos de comunicação, outros tipos de informação (como registros de
acesso) ou ambos; (vi) A taxa de atendimento das solicitações divididas por categoria.
Além disso, tais relatórios deveriam ser publicados no mínimo uma vez por ano e
disponibilizados para download nas páginas institucionais dos provedores em
formato aberto e processável por máquinas. Do mesmo modo, recomenda-se a
publicação de relatórios de transparência relativos às solicitações de retirada de
conteúdos por parte de autoridades públicas ou agentes privados.
Guarda de Registros de Conexão
Sobre a necessidade de estabelecimento de prazo máximo determinado para a
guarda de registros de conexão (art. 13).
É importante notar que a retenção geral de dados pode ser vista como uma questão
controversa no que diz respeito ao princípio da privacidade e proteção de dados. Em
particular, pode-se argumentar que "a retenção em massa, de dados de
comunicações, sem que haja uma suspeita, é fundamentalmente contrária ao Estado
de Direito, incompatível com os princípios de proteção de dados centrais e ineficaz"
(ver Council of Europe’s Commissioner for Human Rights, “The Rule of Law on the
Internet
and
in
the
Wider
Digital
World,
disponível
em:
http://www.statewatch.org/news/2014/dec/coe-hr-comm-rule-of-law-onthe%20internet-summary.pdf). Para ser compatível com princípios do Estado de
Direito, a retenção de dados deve ser limitada no tempo e no espaço e "deve ser
realizada em conformidade com o direito internacional dos direitos humanos", tal
como recomendado pela Declaração final do NETmundial. Diante disso, seria
importante que fosse estabelecido que após o p eríodo estabelecido para a guarda
dos registros de conexão (1 ano) deveria haver a obrigacão de exclusão desses
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
registros.
Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
Sobre a necessidade de estabelecimento de prazo máximo determinado para a
guarda de registros de Acesso a Aplicações de Internet na Provisão de Aplicações (art.
15).
O Marco Civil não define um período máximo de retenção de registros de acesso as
aplicações de internet. Essa é uma lacuna importante, que fragiliza o direito à
privacidade. Uma análise comparada dos regimes de retenção de dados existentes
salienta que os pedidos das autoridades de investigação se concentram nos primeiros
12 meses, desde a retenção. A regulamentação do Marco Civil deve estabelecer um
período máximo de retenção de dados relativos ao acesso aos aplicativos, após os
quais deveriam ser apagados.
Alguns princípios de proteção de dados foram surgindo a partir de diferentes
sistemas jurídicos ocidentais, em particular no âmbito europeu. Dentre esses
princípios, estipula-se que os dados devem ser mantidos de forma identificável por
não mais do que o necessário para os fins para os quais os dados foram coletados ou
para que são tratados posteriormente. Isto significa que os dados devem ser
eliminados após terem sido utilizados por uma duração limitada pré-definida de um
modo específico. Quando esse objetivo é definido pelo responsável pelo tratamento
deve ser indicada uma duração específica. Quando o objetivo é previsto por lei, a
duração deve ser definida por lei ou regulamento ou por uma ordem judicial.
Ao estabelecer, nos arts. 13, § 2º e 15, § 2º, a possibilidade de pedido de guarda
cautelar, por prazo maior do que o previsto, de registros de conexão ou acesso a
aplicações de internet, o Marco Civil não deixou claro de que maneira seria
delimitado o escopo de tal pedido. Como a comunicação dos dados às autoridades
está vinculada a pedido de autorização judicial de acesso -- a ser feito em até 60 dias
da data do requerimento de guarda cautelar, conforme os arts. 13, § 3º e 15, § 2º --,
natural que os dois primeiros requisitos incluídos no rol do art. 22 do Marco Civil
orientem também o pedido de guarda cautelar. Em outras palavras, ao requerer o
armazenamento cautelar de registros de conexão ou de acesso a aplicação de
internet para além dos prazos de, respectivamente, 1 ano e 6 meses, as autoridades
devem especificar “fundados indícios da ocorrência do ilícito (art. 22, I) e oferecer
“justificativa motivada da utilidade dos registros solici tados para fins de investigação
ou instrução probatória” (art. 22, III). Caso contrário, corre-se o risco de que pedidos
que sejam substancialmente mais abrangentes do que o autorizado pelo Marco Civil
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio
sejam direcionados aos provedores.
Praia de Botafogo, 190 | 13º andar | Rio de Janeiro | RJ | CEP:22250-900 | Brasil
Tel: (55 21) 3799-4608 | Fax: (55 21) 3799-5335 | www.fgv.br/direitorio