A guarda de registros de conexão e de acesso é um dos pontos mais importantes do Marco Civil da Internet, que dedica uma seção inteira para tratar da proteção aos registros, aos dados pessoais e às comunicações privadas.
Os arts. 10 a 17 da Lei 12.965/2014 delineiam com precisão os deveres dos provedores de conexão e dos provedores de aplicação quanto à guarda de registros, bem como os limites legais para sua utilização.
Neste texto, vamos analisar as disposições sobre o tema, explorando cada aspecto delineado pela legislação brasileira, incluindo:
- A diferença entre guarda de registros de conexão e de acesso
- A Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas
- A Guarda de Registros de Conexão
- A Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
- A Requisição Judicial de Registros
- Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas
Vamos começar entendendo o que é registro de conexão e de acesso a aplicações de internet.
A diferença entre guarda de registros de conexão e de acesso
Os registros de conexão e de acesso a aplicações de internet, também conhecidos como logs de conexão e de acesso, são peças-chave no funcionamento seguro e responsável da internet.
Os registros de conexão dizem respeito às informações técnicas relacionadas à conexão do usuário à internet.
Isso inclui dados como endereço IP, horários de conexão, tipo de dispositivo utilizado e localização geográfica, entre outros.
Os registros de conexão são fundamentais para garantir a segurança das comunicações online, possibilitando a identificação de possíveis ameaças, a investigação de atividades suspeitas e a manutenção da integridade da rede.
Por outro lado, os registros de acesso a aplicações na internet referem-se às informações sobre a atividade de um usuário na rede, como os sites visitados, os aplicativos utilizados e as ações realizadas durante a navegação.
Esses registros são essenciais para compreender o comportamento dos usuários e identificar padrões de uso, contribuindo para a personalização de serviços e aprimoramento das plataformas online.
Vale lembrar que o próprio Marco Civil da Internet conceitua os dois registros em seu art. 5o, incisos VI e VIII, da seguinte forma:
- Registro de Conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados.
- Registros de Acesso a Aplicações de Internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.
Em conjunto, os registros de conexão e de acesso formam uma camada de proteção e transparência no ambiente digital, permitindo que usuários, empresas e autoridades ajam de forma consciente e responsável, preservando tanto a privacidade individual quanto a segurança coletiva na internet.
A Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas
A guarda de registros é uma faca de dois gumes.
Por um lado, permite que atividades ilícitas sejam investigadas e punidas. Por outro lado, podem representar uma ameaça à privacidade das pessoas.
Considerando isso, o Marco Civil da Internet dispõe expressamente que a guarda de registros deve atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
As empresas que guardam esses dados só são obrigadas a disponibilizá-los mediante ordem judicial, nas hipóteses e na forma estabelecidas por lei.
A exceção é o acesso, pelas autoridades administrativas que detenham competência legal para a sua requisição, aos dados cadastrais que informem qualificação pessoal (nome, prenome, estado civil e profissão do usuário), filiação e endereço do usuário.
Mesmo assim, essas requisições de dados cadastrais devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos, conforme o art. 11, § 3º, do Decreto 8.771/2016, que regulamenta o Marco Civil da Internet.
Por questões de transparência, segundo o mesmo Decreto, a autoridade máxima de cada órgão da administração pública federal publicará anualmente relatórios estatísticos de requisição de dados cadastrais, contendo:
- Número de pedidos realizados;
- Listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
- Número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações;
- Número de usuários afetados por tais solicitações.
Todos esses pedidos precisam indicar o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.
Sanções previstas
Antes mesmo da LGPD, o Marco Civil da Internet já mostrava uma preocupação com a proteção de dados pessoais, prevendo as seguintes punições para quem violar as disposições de proteção aos registros, aos dados pessoais e às comunicações privadas:
- Advertência, com indicação de prazo para adoção de medidas corretivas
- Multa de até 10% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção
- Suspensão temporária das atividades
- Proibição de exercício das atividades
Tais sanções ocorrem sem prejuízo das demais sanções cíveis, criminais ou administrativas.
Além disso, se o caso se enquadrar nas disposições da LGPD, lei mais específica e mais recente, a interpretação provavelmente será pela aplicação das sanções previstas na lei de proteção de dados.
A Guarda de Registros de Conexão
Todo provedor de conexão é obrigado pela lei a manter a guarda de registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano.
Essa guarda não pode ser terceirizada. Segundo algumas interpretações, o provedor de conexão não pode nem mesmo contratar um serviço de nuvem de outra empresa para guardar esses dados, para não ferir o disposto no art. 13, inciso I, do Marco Civil.
Dilação do prazo de guarda de registros de conexão
O prazo de um ano para a guarda de registros de conexão não é absoluto.
No curso de uma investigação, a autoridade policial ou administrativa ou o Ministério Público podem requerer cautelarmente que os registros de conexão sejam guardados por um prazo maior.
Nesses casos, a autoridade requerente terá o prazo de 60 dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros.
Assim como os dados devem estar sob sigilo, o requerimento de dilação de prazo também deve ser mantido em sigilo pelo provedor de conexão.
Somente com a autorização judicial é que o provedor de conexão pode passar os dados para o requerente.
Vedação de guarda de registros de acesso pelo provedor de conexão
Se por um lado o provedor de conexão tem a obrigação de guardar os registros de conexão pelo prazo de um ano, por outro lado ele está vedado pelo art. 14 do Marco Civil de guardar os registros de acesso a aplicações de internet.
Assim, a guarda de registros de acesso só pode ser feita pelo provedor de aplicações de internet, como veremos a seguir.
A Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações
Aplicações de internet são “o conjunto de funcionalidades acessíveis por meio de um terminal conectado à internet” (art. 5º, VII).
Este conceito inclui os programas, serviços e demais funcionalidades que são entregues aos usuários finais através da rede, incluindo sites, redes sociais, aplicativos, serviços de mensagens, ferramentas de inteligência artificial, serviços de streaming, e-commerces etc.
Se um provedor de aplicações de internet for constituído na forma de pessoa jurídica e exercer essa atividade de forma organizada, profissionalmente e com fins econômicos, ele deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de seis meses.
Diferenças na guarda de registros de conexão e de acesso
Aqui vemos duas diferenças em relação à guarda de registros de conexão.
A primeira diferença é o prazo: um ano para os registros de conexão, seis meses para os registros de acesso a aplicações de internet.
A segunda diferença é que nem todo provedor de aplicações é obrigado a manter a guarda de registros de acesso, mas apenas aqueles organizados na forma de pessoa jurídica e que exerçam essa atividade de forma organizada, profissionalmente e com fins econômicos.
Ou seja, uma pessoa física que possua um blog amador sem fins econômicos, por exemplo, não está obrigada a guardar registros de acesso a esse blog.
No entanto, uma ordem judicial pode obrigar, por tempo certo, qualquer provedor de aplicações de internet a guardar os registros de acesso, desde que se trate de registros relativos a fatos específicos em período determinado.
A opção por não guardar os registros de acesso a aplicações de internet não implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros.
Dilação do prazo de guarda de registros de acesso
Assim como ocorre com os registros de conexão, a autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior aos seis meses previstos como regra.
Da mesma forma, somente com a autorização judicial é que o provedor de aplicações pode passar os dados para o requerente.
Vedação a guarda de registros de aplicações alheias e de dados pessoais excessivos
O provedor de aplicações não pode guardar registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente.
Por exemplo, mesmo sendo do mesmo grupo econômico, uma aplicação como o WhatsApp não pode guardar registros de acesso ao Instagram ou ao Facebook, salvo se o titular dos dados tiver fornecido um consentimento prévio.
Além disso, o provedor de aplicações está vedado a guardar registros de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na LGPD.
A Requisição Judicial de Registros
A guarda de registros de conexão e de acesso existe, sobretudo, para permitir a investigação de ilícitos cometidos na internet.
Por isso, o Marco Civil prevê a possibilidade de requisição por parte da autoridade policial ou administrativa ou do Ministério Público e também de outras partes interessadas em um processo cível ou penal.
Assim, a parte interessada pode, para formar conjunto probatório, requerer ao juiz que ordene ao responsável pela guarda o fornecimento de registros de conexão ou de acesso a aplicações.
Tal requerimento deve conter:
- Fundados indícios da ocorrência do ilícito
- Justificativa motivada da utilidade dos registros solicitados para fins de investigação ou instrução probatória
- Período ao qual se referem os registros
Enquanto a guarda de registros estiver com o provedor de conexão ou de acesso, cabe a ele manter o sigilo das informações.
Uma vez que esses dados sejam fornecidos ao Poder Judiciário, cabe ao juiz tomar as providências necessárias à garantia do sigilo das informações recebidas e à preservação da intimidade, da vida privada, da honra e da imagem do usuário, podendo determinar segredo de justiça, inclusive quanto aos pedidos de guarda de registro.
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas
O Decreto 8.771/2016 dispõe, em seu art. 13, que os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes:
- Controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários
- Mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros
- Inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado
- Soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
O decreto também define o Comitê Gestor da Internet (CGI.br) como responsável por promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, de acordo com as especificidades e o porte dos provedores.
As informações sobre os padrões de segurança adotados devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente pela internet, respeitado o direito de confidencialidade quanto aos segredos empresariais.
Quantidade de dados guardados e momento da exclusão
O Decreto dispõe ainda que os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações.
Isso ocorre para reduzir a possibilidade de vazamentos e para garantir a privacidade dos usuários, respeitando os princípios do Marco Civil da Internet e da LGPD.
Por fim, o Decreto dispõe que os dados devem ser excluídos:
- tão logo atingida a finalidade de seu uso; ou
- se encerrado o prazo determinado por obrigação legal.
Lembrando que o prazo legal é de 1 ano para os registros de conexão e de 6 meses para os registros de acesso (neste caso, se o provedor de aplicações for organizado na forma de pessoa jurídica e exercer essa atividade de forma organizada, profissionalmente e com fins econômicos).
Além disso, vale lembrar que ambos os prazos podem ser aumentados em caso de requisição de autoridade policial ou administrativa ou do Ministério Público, conforme visto anteriormente.
Foto por rc.xyz NFT galeria no Unsplash