Este texto dá sequência à série que está sendo publicada em razão da celebração dos 10 anos da Lei 12.965, de 24 de abril de 2014, conhecida como o Marco Civil da Internet (MCI).
O primeiro texto abordou o regime geral de responsabilidade civil subjetiva por conteúdo de terceiro, instituído pelo art. 19 para o amplo espectro de provedores de aplicação de internet, enquanto o segundo texto tratou da lacuna normativa deixada pelo MCI quanto à responsabilidade civil do provedor de aplicação em matéria de direitos autorais.
Este terceiro artigo da série comemorativa abordará a regulação trazida pelo MCI quanto ao armazenamento e compartilhamento de dados de usuários por provedores de conexão e de aplicação de internet, especialmente para fins de investigação criminal.
Historicamente, o direito penal divide dados, para fins de determinação de acesso, em duas categorias: em fluxo e armazenados. Na visão clássica da jurisprudência, a proteção constitucional do art. 5º, XII, CF (inviolabilidade de comunicações) se aplica somente ao fluxo de dados, não aos dados estáticos, como em telefones celulares e conteúdo de aplicativos (assim a jurisprudência do Supremo Tribunal Federal (STF): MS 21.729, Rel. Min. Néri da Silveira, j. 5.10.95; RE 418.416, Rel. Min. Sepúlveda Pertence, j. 10.05.06; e HC 91.887, Rel. Min. Gilmar Mendes).
O Marco Civil da Internet, por sua vez, apresentou uma nova classificação para dados no seu art. 10, ao dispor sobre a guarda e a disponibilização de três tipos deles: (i) registros de conexão e de acesso a aplicações de internet, referidos também de dados de tráfego, (ii) dados cadastrais e (iii) conteúdo de comunicações privadas. Operações essas que, nos termos do caput, deveriam “atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas”.
Quando da promulgação da lei, a disciplina sobre a guarda e a disponibilização de dados no âmbito de investigações criminais tinha como preocupação a proteção da liberdade de expressão e da privacidade dos usuários, tratando os abusos na internet como casos excepcionais. Estava também muito relacionada com o combate a crimes cibernéticos, com o objetivo de identificar pessoas que cometiam crimes no ambiente cibernético.
Com o passar do tempo, no entanto, foram-se alterando os hábitos de uso da internet e das tecnologias de captura de dados. A requisição de dados para investigações criminais, inclusive de crimes cometidos fora do ambiente virtual, tornou-se corriqueira e, com isso, diversas discussões tiveram de ser enfrentadas pelo Poder Judiciário.
Registros de conexão e acesso ou dados de tráfego
Quanto aos registros de conexão e acesso, o §1º do artigo 10 do Marco Civil da Internet, determinou que o provedor responsável pela guarda deverá disponibilizar tais dados de tráfego somente mediante ordem judicial. O provedor de conexão deve coletar e manter registros de data, hora e IP usado para conexões à internet, pelo prazo de um ano (arts. 5º, VI, e 13), enquanto o provedor de aplicação deve manter registros de data e IP usado para acesso à sua aplicação pelo prazo de seis meses (arts. 5º, VIII, e 15).
Uma regra que parecia simples e completa em um primeiro momento, ao longo dos 10 anos de vigência do MCI, acabou se mostrando insuficiente em razão do esgotamento do modelo IPV4 – protocolo padrão de comunicação que identifica cada equipamento conectado à internet, mas esgotou sua capacidade de ser utilizado de forma individualizada. Em razão disso, durante a transição para o IPV6, protocolo que suportaria um número muito maior de endereços individualizados, os provedores de conexão passaram a se valer portas lógicas para garantir que mais de um usuário utilize o mesmo IP público.
Sendo o IP sozinho insuficiente para identificar um usuário ou terminal, iniciou-se a discussão sobre a existência de um dever de guarda das portas lógicas e, ainda, se seria dos provedores de conexão apenas ou também dos provedores de aplicação.
A 3ª Turma do Superior Tribunal de Justiça (STJ) se posicionou no sentido de atribuir este dever também aos provedores de aplicação (REsp 1.777.769/SP, Rel. Ministra Nancy Andrighi, j. 05/11/2019; REsp 1.784.156/SP, Rel. Marco Aurélio Bellizze, j. 05/11/2019). No entanto, alguns tribunais adotam posicionamento distinto. Embora a questão seja aparentemente transitória e particular do atual estágio de desenvolvimento tecnológico em que o Brasil se encontra, ainda não foi totalmente pacificada.
Dados cadastrais
O MCI e seu decreto regulamentador, o Decreto 8771/2016, também disciplinou especificamente a disponibilização de dados cadastrais, entendidos como qualificação pessoal (nome, prenome, estado civil e profissão), filiação e endereço, usados para estabelecer contratos com provedores de conexão e aplicativos de internet.
Devido ao baixo potencial lesivo aos titulares, o art. 10, §3º, do MCI estabeleceu que dados cadastrais podem ser compartilhados independentemente de autorização judicial com autoridades administrativas que detenham competência legal para a sua requisição. Ainda, outras legislações autorizam o compartilhamento de dados cadastrais pela mera requisição de autoridade investigante, notadamente a Lei de Organizações Criminosas, em seu art. 15 e ss. e a Lei de Lavagem de Dinheiro, em seu art. 17-B.
Veja-se que, diferente do que se previu para dados de tráfego, o MCI não estabeleceu obrigação de coleta e guarda aos provedores de aplicação. O que se viu, ao longo dos 10 anos de vigência da lei, é que muitos provedores não necessitam coletar e não exigem todos os dados categorizados como cadastrais para fornecer seus serviços, fazendo com que os dados de tráfego se mostrassem essenciais para identificação dos usuários.
Ainda que o MCI e o Decreto 8771/2016 e as outras legislações citadas tenham definido o que são dados cadastrais e limitado o acesso a apenas estes pelas autoridades policiais sem ordem judicial, existe debate acerca da amplitude do conceito no STF, haja vista existir entendimentos que incluem informações como endereço de IP ou geolocalização no âmbito de dados cadastrais (ADI 4906).
Conteúdo de comunicações privadas e outros dados
O debate acerca da obrigação de armazenamento e compartilhamento de dados de conteúdo de comunicação e outros dados de conteúdo é o mais controverso no âmbito da interpretação do art. 10 do Marco Civil da Internet. As regras acerca do compartilhamento desses dados constam no § 2º do referido artigo, o qual remete a uma possibilidade de disponibilização do conteúdo de comunicações privadas, mediante ordem judicial, indicando a necessidade de uma legislação específica para regulamentar a matéria.
Embora as autoridades investigativas criminais entendam que a Lei 9296/1996, conhecida como Lei de Interceptação Telefônica, seja o autorizativo legal para a requisição, via decisão judicial, do conteúdo de mensagens, o art. 7º da Lei delimita sua aplicabilidade a concessionárias de serviço público, o que afastaria, ao menos em tese, a obrigação para entidades privadas provedoras de aplicação.
A ausência de uma redação que obrigue ou vincule os provedores de aplicação a armazenar ou mesmo disponibilizar dados de conteúdo foi evidenciada, principalmente, na ADI 5.527 e na ADPF 403, em trâmite no STF. Ambas analisam a possibilidade de suspensão de serviços de mensageria por descumprimento de ordens judiciais de quebra de sigilo de conteúdo de comunicações, em razão do uso da criptografia ponta-a-ponta. Nesses casos, pendentes de julgamento, já há posicionamento no sentido de que os serviços de mensagem não têm obrigação legal de armazenar esses dados, evidenciando a omissão do MCI nesse ponto.
A questão é abordada em decisão monocrática do ministro Gilmar Mendes (STF, MS 38.189, j. 10.09.21), na qual ele afirma ser, no âmbito do MCI, discutível que os provedores de aplicação sejam obrigados a disponibilizarem o acesso a dados pessoais e ao conteúdo de comunicações privadas, afastando a aplicação da Lei 9296/1996, conhecida como Lei de Interceptação Telefônica, pois essa, de acordo o ministro, é aplicável tão somente a concessionárias de serviço público.
Apesar dessa divisão, o Marco Civil da Internet não adentra, especificamente, na forma de proteção de outras categorias de dados pessoais. Na jurisprudência do STF, há um indicativo de estabelecimento de uma série de standards para a efetivação do direito à proteção de dados pessoais para fins criminais, notadamente no Tema 977 (ARE 1.042.075) e no RE 1.302.250.
Contudo, tanto o MCI como a LGPD deixam uma lacuna normativa para que a aplicação dos princípios da disciplina de proteção de dados para fins criminais seja regulada por legislação específica, o que, até o momento, não ultrapassou a barreira do projeto de lei (PL 1515/2022). Esse parece ser o caminho para solucionar as inseguranças jurídicas em matéria tão sensível.
