InternetLab Reporta – Consultas Públicas nº 12
Iniciamos este décimo segundo InternetLab Reporta com a notícia de que o debate público sobre o anteprojeto de proteção de dados pessoais foi prorrogada até o dia 5 julho. Segundo o Ministério da Justiça, a decisão levou em conta a crescente complexidade dos debates na plataforma e a grande importância do tema para todos os cidadãos brasileiros.
Confira abaixo as discussões selecionadas nas plataformas de discussão do decreto de regulamentação do Marco Civil e do anteprojeto de proteção de dados pessoais nessa semana.
Regulamentação do Marco Civil: os limites do artigo 15 do Marco Civil
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
Este artigo, fruto de intenso debate na época da criação do Marco Civil, busca conciliar ao mesmo tempo a privacidade dos usuários e a capacidade persecutória e investigativa do Estado. Os registros em questão, segundo autoridades como a Polícia Federal e o Ministério Público Federal, são essenciais para a identificação de usuários de Internet suspeitos de praticar atividades criminosas. Apesar da redação trazida pelo Marco Civil instar algum detalhamento de quais os provedores de aplicações que são obrigados a guardar os registros que permitem identificar usuários, muitas sugestões postas na plataforma requerem um detalhamento ainda maior. Isto levaria a uma diminuição no número de provedores afetados pelo dispositivo, por exemplo.
A guarda de registros de acesso a aplicação e pequenas empresas
Em sua contribuição, a participante Joana Varon começa por dizer que o artigo é “excessivo e controverso” e que iria na contramão daquilo que vem sendo entendido como adequado numa perspectiva global. A participante cita como o exemplo o caso da Diretiva da União Europeia 2006/24. Ela estabelecia a retenção obrigatória de dados e que foi declarada inválida em abril de 2014. Segundo Joana Varon, esta decisão da Corte Europeia, que levou a anulação da Diretiva, levou em conta a falta de proporcionalidade na relação entre o armazenamento e tratamento dos usuários de internet, de um lado, e os potenciais danos a liberdade de expressão na rede, do outro.
A participante destaca que o dispositivo pode acarretar um custo desproporcional para pequenas empresas e novos empreendedores, já que estes serão obrigados a guardar e manter segura uma grande quantidade de dados que normalmente não seria do seu interesse. A nova obrigação desviaria recursos e engessaria a inovação do setor de tecnologia.
Em sua contribuição, Joana Varon ressalta que, levando em conta o contexto da concepção do artigo 15, seu objetivo inicial era criar a obrigação de guarda de registros para grandes provedores de aplicação que, em geral, já realizam esse tipo de armazenamento e, portanto, não teriam grandes dificuldades em manter os dados de forma segura e atender aos requerimentos das autoridades brasileiras.
Frente a esses problemas, a participante acredita que o decreto de regulamentação deveria delimitar da melhor forma possível quais provedores de aplicação estão obrigados a guardar registros:
“Assim, deixando de lado controvérsias sobre a constitucionalidade de tal medida, ou mesmo coerência com os princípios do próprio Marco Civil, fica claro que ampliar o escopo para provedores de qualquer porte pode ser ainda mais danoso. Sugere-se, portanto, que, para minimizar os danos do artigo 15, a regulação do Marco Civil pelo menos atrele a finalidade da organização e/ou aplicação à obrigação de guarda e estabeleça um patamar de faturamento para separar os provedores comerciais obrigados a guardar tais registros.”
Guarda de registros e hospedagem de conteúdo de terceiros
A contribuição do Instituto de Tecnologia & Sociedade do Rio de Janeiro (ITS Rio), também foi sentido de limitar o escopo de aplicação do artigo 15. Este artigo, inclusive, foi apontado como internacionalmente controverso pelo instituto.
Para o ITS Rio, a obrigação legal de guarda de registros do artigo 15 deve se limitar àqueles provedores de aplicações de internet que hospedam conteúdo produzidos pelos usuários. Esta escolha estaria embasado nos princípios do próprio Marco Civil e nos artigos referentes a responsabilidade por danos decorrentes de conteúdo gerados por terceiros (artigos 18 a 21).
Segundo o instituto, esta opção retiraria do escopo de aplicação do artigo 15 uma grande variedade de armazenamentos desnecessários e indevidos, fazendo com que grande quantidade de recursos fosse poupada:
“Desta maneira, evitar-se-á o armazenamento desnecessário – e indevido – de dados relativos a serviços que não abrigam conteúdo disponibilizado pelos usuários, tais como sites de comércio, serviços financeiros, ferramentas de marketing online, aplicações máquina a máquina (M2M) e sites sem interatividade. Importante salientar que, mesmo com relação aos serviços financeiros essa obrigação não se mostraria adequada sob o argumento de investigação de crimes de lavagem de dinheiro e de outros crimes financeiros, pois já há Lei que versa sobre o assunto e que obriga essas empresas a enviar informações relacionadas a movimentações financeiras ‘suspeitas’ para o COAF, o que tornaria desnecessária e redundante a guarda de registros de acesso.”
Dados pessoais: dispensa de consentimento para pesquisas
No texto discutido para o anteprojeto de proteção de dados pessoais há previsão de uma proteção reforçada a certos dados tidos como “sensíveis”, ou seja, dados que são fortemente vinculados aos direitos dos cidadãos e cujo tratamento sem a devida cautela e garantias especiais poderia causar grandes prejuízos. O artigo 5º do anteprojeto prevê a seguinte definição para dados sensíveis:
III – dados sensíveis: dados pessoais que revelem a origem racial ou étnica, as convicções religiosas, filosóficas ou morais, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos;
Esses dados em regra não podem ser alvo de tratamento, salvo quando há um consentimento especial. Nestes casos, o consentimento para o tratamento deve ser distinto do consentimento relativa a outros dados pessoais, além de muito bem informado.
Porém, no anteprojeto, os dados sensíveis podem ser tratados sem o consentimento dos cidadãos em determinadas hipóteses descritas em lei. Uma hipótese em especial vem gerando debate na plataforma: a dispensa de consentimento para tratamento dados para “realização de pesquisa histórica, científica ou estatística” (artigos 11, inciso IV, e 12, inciso II, c).
Muitos participantes enxergam que deveria haver um tratamento distinto, mais protetivo, para os dados sensíveis, mesmo na hipótese de realização de pesquisas. A participante gabriela martins, por exemplo, comentou que “nesse caso, creio que deveria haver alguma restrição, como só poder utilizar para pesquisa depois que a pessoa já faleceu”.
Ainda com relação à dispensa de consentimento para realização de pesquisa, participantes sugeriram diversas formas de dar mais proteção tanto de dados sensíveis quanto de dados pessoais “não sensíveis”. Entre as sugestões estão: a necessidade obrigatória ( e não facultativa, tal como consta no anteprojeto) de dissociação dos dados pessoais, o controle das pesquisas por algum órgão público e a exclusão expressa das pesquisa para fins exclusivamente comerciais e de marketing direcionado das hipóteses de dispensa de consentimento.