728x90 AdSpace

  • Novidades

    segunda-feira, 24 de abril de 2017

    Três anos de Marco Civil da Internet: houve avanços?

    O blog neste mês de abril alcançou a incrível marca de 10 anos no ar. Confesso que não fico cuidando dessas coisas, afinal, quando montei esse espaço, queria apenas um repositório para opiniões do dia a dia que pudessem de alguma forma se converter em uma pesquisa mais elaborada, um artigo científico. Mas o que era um hobby foi se tornando uma diversão, uma válvula de escape, uma "penseira" contemporânea para um trouxa (no sentido Rowliniano da palavra) que precisava de alguma forma organizar suas ideias, e acabou se tornando parte da minha rotina. É fato que às vezes a rotina me leva pra longe do blog, mas volta e meia arrumo uns minutos para deixar aqui alguma reflexão que pode levar à construção do conhecimento meu e de outrem - por que não?

    Mas não é só o blog que está fazendo aniversário: há exatamente três anos entrava em vigor o Marco Civil da Internet, a Lei Federal n.º 12.965/14, regulamentada pelo Decreto n.º 8.771/16, que trazia consigo promessas de regulamentação de princípios, direitos e deveres pertinentes ao uso da rede mundial de computadores. Já discutíamos o assunto aqui no blog desde os idos de 2008, na época do ainda famigerado PL n.º 76/2000, que muitos anos mais tarde daria origem à Lei n.º 12.737/12, conhecida nacionalmente como Lei Carolina Dieckmann. 

    O que mudou nesses três anos de Marco Civil?

    Queria poder dizer que muita coisa. Vários pontos da lei demandavam regulamentação, e o Decreto 8.771 tinha a promessa de preencher as lacunas do Marco, afinal, ele foi moldado como uma "Constituição" de direitos digitais, traçava apenas a base da construção de um Direito interdisciplinar muito mais complexo - por exemplo, falava em responsabilização dos provedores pelo armazenamento dos dados (art. 10), trata das sanções aplicáveis (arts. 11 e 12), mas para por aí, não dando mais detalhes que seriam pertinentes ao assunto. A Lei de Proteção de Dados Pessoais, que discutimos aqui no blog ainda em 2014, até hoje está em apreciação no Congresso, e preencheria o vazio legislativo existente até hoje. 

    Outras questões entraram em pauta e passaram a ser fortemente discutidas, como os limites da neutralidade de rede no caso da limitação da banda larga em acesso à internet, ou os casos de privacidade envolvendo mensageiros instantâneos e suas constantes batalhas judiciais no que tange à entrega de dados por força de ordem judicial

    O Marco Civil influenciou também diretamente nos debates na CPI dos Crimes Eletrônicos, e nas propostas que há ainda hoje em andamento, trazendo inclusive em seu relatório final proposta de proibição de bloqueio de mensageiros instantâneos no Brasil - uma consequência direta das batalhas que mencionamos no parágrafo acima. 

    No geral, o Marco Civil da Internet passou a estar muito presente nas ações judiciais e influenciou também diretamente o uso maciço de redes sociais como meios de prova em ações judiciais, além de levantar abandeira de discussão de novos crimes, como a extorsão criptoviral e a pornografia de vingança. Vários paradigmas mudaram em razão da atenção que passou a ser dada pelo Judiciário ao ambiente digital, e isso, de um certo modo, foi muito positivo. O ponto chave aqui, porém, é que a lei ainda carece de uma série de regulamentações específicas.

    O Decreto 8.771 não cobriu todas as lacunas?

    Sinceramente, entendemos que o decreto fez um bom trabalho naquilo que propõe, mas não esgotou a matéria da Lei n.º 12.965/14. Um dos primeiros pontos dos quais ele tratou, por exemplo, foi o da neutralidade de rede, uma questão delicada e que estava cercada de polêmica pelo risco de ser relativizada pelo dito decreto.

    ​De acordo com o Marco Civil, a neutralidade de rede determina uma garantia de tratamento isonômico a quaisquer pacotes de dados pelo responsável por sua transmissão, ou seja, não importa a finalidade do uso dos dados (streaming, jogos, downloads, navegação), eles devem ser tratados e taxados da mesma forma. A neutralidade é a regra, e a discriminação do uso do pacote de dados pelo usuário só pode ser admitida em duas hipóteses excepcionais: 1) requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações, ou 2) priorização de serviços de emergência.

    O Dec. 8.117 finalmente relacionou de forma objetiva - e exaustiva - quais seriam as hipóteses de exceção permitida à neutralidade de rede. De acordo com o art. 5º do supracitado decreto, os requisitos técnicos indispensáveis à prestação do serviço seriam 1) o tratamento de questões de segurança, como restrição ao spam e controle de ataques de negação de serviços (DDoS), e 2) o tratamento de situações excepcionais de congestionamento de rede.



    Com relação às exceções à neutralidade de rede decorrentes da priorização de serviços de emergência, ficam estabelecidas as situações de comunicações destinadas aos prestadores de serviços de emergência ou necessárias para informar a população de situações de risco de desastre, emergência ou estado de calamidade pública. Nestas situações, a transmissão dos dados deverá inclusive ser gratuita.

    Por fim, fica expressamente proibido priorizar pacotes de dados em razão de arranjos comerciais, privilegiar aplicativos disponibilizados pelo próprio provedor, ou comprometer, de qualquer forma, o caráter público e irrestrito do acesso à internet e demais princípios estabelecidos pelo Marco Civil em território nacional. O decreto, porém, não deixou claro se práticas como zero rating (navegação gratuita promocional em determinados aplicativos) violam ou não a neutralidade de rede. 

    Com relação à proteção dos dados, houve avanços, mas ainda tímidos. Isso porque o decreto traz todos os detalhes com relação aos procedimentos pertinentes à requisição de informações, junto aos provedores, pelas autoridades administrativas competentes, por lei, para tal, independentemente de ordem judicial, mas não aborda de forma suficiente demais informações pertinentes ao armazenamento dos dados cadastrais de usuários da Internet, como, por exemplo, o fato de nossos dados estarem todos em provedores estrangeiros - o Brasil, hoje, só tem "espelhos" desses provedores. Há sim disposições pertinentes aos dados no art. 13 do Decreto, mas somente no que tange à segurança dos mesmos, razão pela qual entendemos que elas trazem ainda mais necessidade de detalhes do que esclarecimentos quanto às situações que vivenciamos hoje na grande rede. 

    Estabelecer de forma clara um fundamento legal para estabelecer objetivamente a competência da autoridade administrativa para o requerimento de dados de identificação de usuários sem ordem judicial certamente é um grande avanço (art. 11, caput, do Dec. 8.771), uma vez que as autoridades ainda dependiam de disposições genéricas para justificar a suposta obrigatoriedade de fornecimento de dados de usuário sem ordem judicial, o que, como reconhecido, é situação excepcional dentro do Marco Civil da Internet (a norma estabelece que o fornecimento só poderá ser realizado mediante ordem judicial, nos termos do artigo 15).

    O decreto estabelece as seguintes diretrizes sobre padrões de segurança, relacionadas no artigo 13:
    Art. 13.  Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

    I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

    II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

    III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e

    IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. 

    O que nos chama a atenção aqui são os detalhes: inicialmente, podemos questionar a eficácia e a própria necessidade de algumas das medidas listadas; além do mais, todos esses requisitos irão, de certa forma, exigir investimentos e/ou ajustes por parte dos provedores, o que poderá implicar em problemas de ordem técnica (quedas constantes, instabilidades de navegação, entre outros). Como aspecto positivo, porém, o decreto torna legal, como instrumento de segurança dos dados, a criptografia - um dos pilares da polêmica envolvendo o uso de aplicativos como WhatsApp e Telegram.

    Por fim, notamos um problema com a própria definição do que seria, aos olhos da lei, "dados pessoais". 

    O decreto estabelece que os provedores devem armazenar o mínimo de "dados pessoais" possível, e define "dado pessoal" como sendo qualquer "dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa" (art. 14, I). O problema com esse conceito é que o mesmo é deveras amplo, não deixando claro se o endereço do protocolo de internet (IP) caracteriza-se ou não como dado pessoal. Tal incerteza quanto ao conceito apresentado pelo decreto poderá trazer dúvidas aos provedores no que tange ao tratamento das informações de usuários.

    O decreto também define "tratamento de dados pessoais" como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 14, II). Uma mera definição, porém, não se aproxima de todo um corpo legal que, como já mencionamos, continua parado para apreciação do Congresso - no caso, o PL 5276/2016.

    Concluindo, no geral o Decreto deu corpo e robustez para diversos dispositivos do Marco Civil, que ainda dependiam de regulamentação, mas ainda não atendeu a todas as expectativas de seus "entusiastas". Questões cruciais como o tratamento de dados ainda dependem de um cabedal mais completo de informações para garantir que condutas como o comércio ilegal de informações seja devidamente evitado e combatido como deve ser. A falta de clareza quanto a alguns pontos também pode representar um certo tempo perdido, já que ficaremos reféns de entendimentos jurisprudenciais até que eventuais divergências caminhem para um posicionamento mais consolidado. Em três anos, o Marco Civil mudou vários paradigmas e todo o cenário da Justiça e Internet no Brasil. Que estejamos prontos para os anos vindouros e o que mais vier por aí.
    • Comentários do Blogger
    • Comentários do Facebook

    0 comentários:

    Postar um comentário

    Item Reviewed: Três anos de Marco Civil da Internet: houve avanços? Rating: 5 Reviewed By: Raphael Chaia
    Ir para Cima