Artículo 6. Libertad de uso de aplicaciones o protocolos de Banda Ancha

Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.

O artigo 7.4a da Lei de Telecomunicações da Holanda, alterada em 2012, tem regra semelhante: “Providers of public electronic communication networks used to provide Internet access services as well as providers of Internet access services will not hinder or slow down services or applications on the Internet“. Lá, em regra, a neutralidade do fluxo de dados numa rede só pode ser afastada ou mitigada por razões técnicas, para preservar a integridade e segurança da rede ou do serviço prestado pelo provedor; ou para bloquear transmissão de conteúdo indesejado, como spam, a um determinado usuário; ou para priorização de serviços de emergência; ou ainda em função de uma lei ou ordem judicial.

O Marco Civil da Internet cuida da neutralidade no art. 9º, ao estabelecer que: “O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação“. O §3º do mesmo artigo complementa a regra ao dispor que “Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo“.

 

5. Influências e interações

As mais do que óbvias inspirações do Marco Civil da Internet são a Constituição Federal de 1988 (notadamente o artigo 5º, com sua carta de direitos), as convenções internacionais de direitos humanos (mais particularmente o Pacto de São José da Costa Rica, de 1969), as recomendações do Comitê Gestor da Internet no Brasil (CGI.br), conhecidas como “Princípios para a governança e uso da Internet”, de 2009 (aqui), e a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Contudo, o marco mais notável do esforço universal para a proteção de dados pessoais encontra-se na Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981 (aqui). Este foi o primeiro instrumento internacional vinculativo adotado para a proteção de dados. Já procurava “garantir […] a todas as pessoas singulares […] o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de caráter pessoal”.

Na tutela de direitos individuais, coletivos e difusos, o Marco Civil da Internet soma-se ao Código Civil de 2002 (especialmente nos temas de direito da personalidade), ao Código de Defesa do Consumidor (Lei 8.078/1990), ao Estatuto da Criança e do Adolescente (Lei 8.069/1990), à Lei Anti-Racismo (Lei 7.716/1989), à Lei de Direitos Autorais (Lei 9.610/1999), à Lei de Propriedade Industrial (Lei 9.279/1996), à Lei do Sistema Brasileiro de Defesa da Concorrência (Lei 12.529/2011) e, no campo processual, à Lei de Ação Civil Pública, à Lei do Habeas Data (Lei 9.507/1997) e ao Código de Processo Civil.

No campo penal, é inegável a articulação do Marco Civil com o Código Penal e com o Estatuto da Criança e do Adolescente.

 

6. Estrutura do Marco Civil

Em 1981, quando foi assinada a Convenção 108 do Conselho da Europa, ainda não estávamos na era da informação e a Internet comercial não existia, mas a preocupação com o tratamento automatizado de dados pessoais já era presente. Mais de três décadas depois, o Marco Civil da Internet é sancionado no Brasil, tendo sido dividido em cinco capítulos:

1) disposições preliminares

2) direitos e garantias do usuário

3) regras sobre oferta de conexão e de aplicações de Internet

4) regras de atuação do Poder Público e

5) disposições finais.

O novo diploma tem em mira promover os usos legítimos da Internet, mediante a proteção à intimidade dos usuários (privacy) e à liberdade de expressão (free speech).

 

 

7. Sujeitos ativos e passivos no Marco Civil

Estão sujeitos ao Marco Civil os provedores de conexão à Internet e os provedores de acesso a aplicações de Internet, sejam eles pessoas físicas (quando atuem de forma profissional) ou jurídicas, estejam eles sediados no País ou no exterior, desde que, neste caso, haja oferta do serviço a usuários do Brasil, no domínio .br.

Os deveres de proteção à intimidade dos usuários de Internet, na condição de consumidores de produtos e serviços oferecidos on line também se estendem aos fornecedores desses produtos ou serviços, conforme o Código de Defesa do Consumidor.

Consequentemente, além das salvaguardas e garantias especificamente introduzidas pelo Marco Civil, os usuários da internet equiparam-se a consumidores para todos os fins, merecendo proteção como usuários finais de produtos ou serviços, com os direitos dos artigos 6º e 7º da Lei 8.078/1990, tendo em mira precipuamente os direitos à informação, a inviolabilidade da honra e da vida privada, a proteção contra práticas e cláusulas abusivas e o direito à obtenção de serviços contínuos, seguros e de qualidade.

 

8. Regime de proteção a dados pessoais

 A partir da premissa de que os dados pessoais (salvo os cadastrais) são indevassáveis, salvo mediante ordem judicial, o Marco Civil constrói um coeso modelo de proteção a informações pessoais sujeitas a processamento em sistemas informáticos. O ponto de partida é o direito à intimidade previsto no artigo 5º, X, da Constituição e inserido também na Convenção Americana sobre Direitos Humanos, de 1969, e no Pacto Internacional de Direitos Civis e Políticos, de 1966.

Aqui, a ideia-força é a inviolabilidade dos dados pessoais, o que inclui os dados de conexão (números IP e que indicam o horário UTC) e os dados de acesso a aplicações de Internet, como, por exemplo, que sítios têm sido visitados, que aplicativos tem sido usados, qual sua frequência, quais foram os programas e arquivos baixados, com quem o usuário interagiu, com duas exceções:

a) os dados cadastrais podem ser requisitados diretamente pelo Ministério Público, pela Polícia ou por autoridades administrativas competentes, no curso de uma investigação cível ou criminal ou de um processo administrativo.

b) os demais dados dos usuários só podem ser obtidos por meio de autorização judicial, no curso de uma investigação civil, criminal ou administrativa, ou para a instrução de ação cível, trabalhista ou penal.

Para a proteção aos dados pessoais dos usuários de Internet, os provedores devem adotar medidas de segurança informática e rotinas de auditoria para verificar vulnerabilidades a vazamentos ou a ataques externos. Cabe também aos provedores recusar requisições de dados cadastrais que não tenham base em procedimentos devidamente instaurados pela autoridade competente do Ministério Público, da Polícia ou da Administração Pública. Por igual, os provedores devem recusar o fornecimento do conteúdo de comunicações privadas que estejam armazenados em seus servidores, sem prévia ordem da autoridade judiciária cível ou criminal competente (art. 7º, inciso III, do Marco Civil). Por fim, os provedores só devem realizar interceptações telemáticas ou viabilizá-las (como, por exemplo, mediante duplicação do fluxo de dados) em atendimento a ordem do juiz criminal competente (art. 7º, inciso II, do Marco Civil), expedida, neste caso, na forma da Lei 9.296/1996.

 

9. A questão penal no Marco Civil

A questão penal também está presente no Marco Civil. Escrevi sobre este tema aqui (aqui). Se não há direitos sem deveres; não existem ciberdireitos apartados dos correspondentes ciberdeveres. Embora o meio de interação seja novo, a solução é antiga: neminen laedere, isto é, não prejudicar a outrem, não lesar o próximo. Assim, se a Internet pode ser usada para a prática de cibercrimes próprios (computer crimes) e impróprios (computer-facilitated crimes), é evidente que dados pessoais de usuários e suas comunicações, postagens e todas as atividades na rede podem sofrer ataques, interceptação clandestina e difusão indevida. No reino dos hackers e dos crackers, a proteção legal é tardia, mas ainda assim é fundamental para resgatar ou restabelecer direitos violados.

Por tal razão, o ciberespaço não está livre da presença dos órgãos de persecução criminal. Atividades telemáticas sempre estão sujeitas a busca, captura e análise, tal como estariam se uma dada conduta ilícita fosse praticada fora da rede. Logo, não pode haver utopia. Tudo o que acontece na Internet pode ser objetivo de investigação pelos órgãos de persecução criminal, sempre que exista lei penal prévia (tipicidade e anterioridade) e tenha havido lesão ou tentativa de lesão a um bem jurídico de outrem. Este “outrem” é a vítima, que pode ser qualquer um de nós. Neste cenário, dados cadastrais de usuários, dados de conexão e dados de acesso a aplicações de internet e as próprias comunicações telemáticas, seja por que meio for, podem ser úteis para a definição da autoria e da materialidade de um delito informático, em que há uma ou mais vítimas.

Basicamente,  os dados em questão compreendem device data, network data, subscriber information e content data. A norma ISO 27037:2012 define vários tipos de dados e “provides guidelines for specific activities in the handling of digital evidence, which are identification, collection, acquisition and preservation of potential digital evidence that can be of evidential value. It provides guidance to individuals with respect to common situations encountered throughout the digital evidence handling process and assists organizations in their disciplinary procedures and in facilitating the exchange of potential digital evidence between jurisdictions“. Tal norma pode ser útil à implementação de políticas de compliance para tratamento de dados, e para os fins do Marco Civil da Internet.

Consoante o artigo 10, §3º do Marco Civil, dados cadastrais de usuários da rede poderão ser requisitados diretamente pelo Ministério Público, pela Polícia ou por outras autoridades administrativas, como a Receita Federal.

 Art. 10. […]

§ 3^o O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.

Atualmente, a Polícia e o Ministério Público já podem obter dados cadastrais diretamente, sem autorização judicial, com base no artigo 17-B da Lei 9.613/98 (Lei de Lavagem de Dinheiro, modificada pela Lei 12.683/2012) e o artigo 15 da Lei 12.850/2013 (Lei do Crime Organizado):

Art. 17-B.  A autoridade policial e o Ministério Público terão acesso, exclusivamente, aos dados cadastrais do investigado que informam qualificação pessoal, filiação e endereço, independentemente de autorização judicial, mantidos pela Justiça Eleitoral, pelas empresas telefônicas, pelas instituições financeiras, pelos provedores de internet e pelas administradoras de cartão de crédito. (Incluído pela Lei nº 12.683, de 2012)

Art. 15.  O delegado de polícia e o Ministério Público terão acesso, independentemente de autorização judicial, apenas aos dados cadastrais do investigado que informem exclusivamente a qualificação pessoal, a filiação e o endereço mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito.

Mas apenas dados cadastrais do usuário de Internet podem ser obtidos sem autorização judicial, o que engloba os dados de qualificação pessoal (identificação civil), filiação e endereço físico. Assim, a regra do artigo 10, §3º, do Marco Civil inviabiliza a interpretação de que a Polícia ou o Ministério Público também poderiam requisitar diretamente metadados, incluídos os dados de conexão. Não podem. Neste caso, será sempre necessária uma ordem judicial, com a finalidade de instruir uma apuração administrativa, cível ou criminal.

E agora, com a regra do artigo 7º, inciso III, do Marco Civil, que reforça o inciso X do artigo 5º da Constituição, passou-se a exigir expressamente ordem judicial, cível ou criminal para o acesso ao conteúdo de comunicações privadas armazenadas nos servidores dos provedores.

Por outro lado, e isto não mudou, a interceptação de comunicações telemáticas, vulgarmente chamada de “escuta” ou “grampo”, também depende de autorização judicial. Todavia, somente pode ser deferida pelo juiz competente, para os fins de uma investigação criminal ou de um processo penal (art. 5º, inciso XII, da CF), desde que atendidos os requisitos da Lei 9.296/1996. Dizendo de outra forma, não é possível interceptar diálogos telemáticos (pela Internet ou por outras redes) para instruir um inquérito civil, uma apuração administrativa ou um processo cível, salvo por empréstimo de prova. É a esta lei que se refere o artigo 7º, inciso II, do Marco Civil, que assegura a “a inviolabilidade e sigilo do fluxo de suas comunicações pela Internet, salvo por ordem judicial, na forma da lei”.

 

10. Responsabilidade civil, penal e administrativa dos provedores

O Marco Civil prevê a responsabilização civil, administrativa e criminal dos provedores de Internet. Essas esferas de responsabilização são independentes e cumuláveis. Uma não exclui a outra. Isto está claro no artigo 12 da Lei 12.965/2014.

A responsabilização civil dos provedores depende de provocação dos legitimados, isto é, das vítimas ou do Poder Público, por meio de advogados privados ou públicos, defensores públicos ou membros do Ministério Público. A aplicação das sanções dependerá de uma decisão judicial, respeitado o devido processo legal, previsto no CPC e/ou na Lei de Ação Civil Pública, disto resultando uma obrigação de fazer, de não fazer ou de indenizar. Podem ser réus os próprios provedores, pessoas jurídicas, ou seus administradores, pessoas naturais. É também possível a desconsideração da pessoa jurídica, na forma do Código Civil e do CDC.

A responsabilização criminal rege-se pelas leis penais (especialmente o Código Penal, o Estatuto da Criança e do Adolescente e, eventualmente outras leis especiais), tendo como instrumento procedimental o CPP. Obviamente, para este tipo de delinquência, não há responsabilidade criminal de pessoas jurídicas. Hoje, a exceção os crimes ambientais, na forma da Lei 9.605/1998. Logo, neste segmento, só se admite a responsabilidade pessoal e subjetiva de pessoas naturais, isto é, dos administradores de provedores que pratiquem condutas tipificadas nas leis penais, agindo como autores, coautores ou partícipes.

Quanto à responsabilização administrativa dos provedores que violarem o Marco Civil, o artigo 12 prevê que os provedores profissionais estão sujeitos a uma série de sanções. São penalidades duras, aplicáveis pela autoridade administrativa federal competente, em caso de ofensa a ciberdireitos encartados na Lei 12.965/2014 ou derivadas da interação desta lei com outros diplomas, a exemplo do Código de Defesa do Consumidor.

As sanções do artigo 12 do Marco Civil são também elas cumuláveis, desde que observado o princípio da proporcionalidade, como se verifica, aliás, no inciso II desse artigo. Ou seja, elas podem ser aplicadas isoladamente ou forma cumulativa, entre si (mais de uma sanção administrativa), ou em conjunto com sanções cíveis e penais. Haverá então cumulatividade endógena ou homogênea, e cumulatividade exógena ou heterogênea.

Portanto, em caso de ofensa aos artigos 10 e 11 do Marco Civil, os provedores poderão ser sancionados pela autoridade administrativa federal competente com penas administrativas que vão desde uma simples advertência cumulada com recomendação de fazer para sanar falhas de compliance (“indicação de prazo para adoção de medidas corretivas”) (art. 12, I) até a proibição do exercício, no território nacional, de atividades de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet (art. 12, IV).

Como medidas punitivas intermediárias, o Marco Civil prevê a aplicação de multa de até 10% (dez por cento) do faturamento da pessoa jurídica ou do “grupo econômico” no Brasil no seu último exercício, excluídos os tributos (art. 12, II); e/ou a suspensão temporária das atividades de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet (art. 12, III). Evidentemente, tal suspensão deve ter prazo determinado e o arbitramento da multa deve tomar em conta a condição econômica do infrator e o princípio da proporcionalidade.

Infelizmente, a lei não esclarece a quem compete conduzir o processo administrativo sancionador. Poderia ser a Agência Nacional de Telecomunicações (Anatel), nos termos do artigo 19 da Lei 9.472/1997; o próprio Ministério das Comunicações, ou, o que é menos provável, o Comitê Gestor da Internet no Brasil (CGI.br). Este ponto, isto é, qual é o órgão competente para aplicar sanções administrativas aos provedores e prestadores de serviços de Internet, deve ser aclarado no decreto regulamentador que será expedido pela presidência da República, com base no artigo 11, §4º, do Marco Civil. Todavia, o decreto não poderá criar um órgão novo que seja responsável pela tutela de ciberdireitos, porque isto é matéria de lei.

Como quer que seja, em se tratando de processo administrativo federal, as regras da Lei 9.784/1997 deverão ser observadas, sob pena de infringir-se o devido processo legal. Segundo o seu artigo 1º, tal diploma “estabelece normas básicas sobre o processo administrativo no âmbito da Administração Federal direta e indireta, visando, em especial, à proteção dos direitos dos administrados e ao melhor cumprimento dos fins da Administração”.

Lamentavelmente, o Marco Civil não deixa claro a responsabilidade do Estado e dos seus agentes em caso de violação a direitos fundamentais da Internet. Tais ofensas deveriam estar também delimitadas no Marco Civil. Porém, o abuso de autoridade poderá ser sancionado criminalmente com base no artigo 3º da Lei 4.868/1965, em ação penal promovida pelo Ministério Público, ou por meio de ações civis, individuais ou coletivas, propostas pelos legitimados perante o foro cível, sem prejuízo da responsabilidade administrativa genérica, prevista na Lei 8.112/90 e em diplomas correlatos dos Estados e dos Municípios.

 

11. Deveres de compliance

De acordo com o Marco Civil, os provedores deverão adotar políticas de compliance (conformidade, adequação) destinadas sobretudo à proteção dos dados pessoais dos usuários, à garantia do free speech e da neutralidade da rede e ao cumprimento de determinações de juízes, do Ministério Público, da Polícia ou de autoridades administrativas competentes, a exemplo da Receita Federal ou da Anatel.

O dever de “compliance” imposto aos provedores de conexão e aos provedores de aplicações de Internet está claramente enunciado no art. 11, §3º, do Marco Civil da Internet:

 § 3^o Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.

Em função das suas obrigações para com os usuários (consumidores) e o Poder Público, previstas nos artigos 10 e 11 do Marco Civil, os provedores de conexão e os provedores de aplicações de Internet estão obrigados a adotar políticas de conformidade (compliance) para prevenir danos aos interesses tutelados pelo subsistema normativo em questão.

Basicamente, os provedores profissionais deverão:

a) guardar de forma segura e criptografada registros de conexão e de acesso a aplicações de Internet por parte de seus usuários

b) proteger os logs de acesso e conexão, assim como os dados cadastrais e demais dados pessoais de seus usuários, e o conteúdo das comunicações privadas desses consumidores, contra acessos indevidos, invasões ou vazamentos, mediante a adoção dos procedimentos de segurança mínimos indicados no decreto regulamentador do Marco Civil

c) disponibilizar à autoridade competente os registros de conexão e de acesso a aplicações de Internet por parte de seus usuários e o conteúdo de comunicações privadas, mediante prévia ordem judicial, no prazo ali fixado

d) guardar e manter atualizados os dados cadastrais dos usuários dos seus serviços e disponibilizá-los à Polícia, ao Ministério Público, a uma autoridade administrativa ou a uma autoridade judicial, quando requisitados

e) respeitar os direitos à intimidade, à vida privada, à honra e à imagem das partes envolvidas nas comunicações privadas que transitem por seus serviços ou que neles estejam armazenadas

f)  prestar informações prévias, completas e adequadas aos seus usuários sobre segurança e sigilo dos serviços por eles oferecidos

g) sujeitar-se à jurisdição brasileira, à Constituição Federal e às leis nacionais sempre que um dos atos das operações de processamento de registros de conexão ou de acesso, ou tratamento de dados pessoais, ou de transmissão de comunicações privadas tenha lugar em território brasileiro, bastando para isto que um dos terminais envolvidos na comunicação esteja ou tenha estado no Brasil, na forma do art. 88 do CPC e do artigo 11 do Marco Civil

h) respeitar os direitos de autor e os que lhe são conexos, assim como a propriedade intelectual, na forma das leis aplicáveis; e

i) colaborar com as autoridades públicas para fazer cessar dano à honra, à imagem, à intimidade ou a direitos autorais e ao direito à propriedade intelectual, mediante notificação do prejudicado ou ordem judicial.

O descumprimento dos deveres de cuidado objetivo por parte dos provedores é o gatilho para a responsabilidade criminal, administrativa e civil, inclusive de cunho patrimonial, que pode se estender à suspensão de suas atividades por prazo certo ou à proibição definitiva de atuação em território brasileiro ou de realização de ofertas ao público do country code top level domain .br na Internet. Em razão disto, doravante, os provedores profissionais deverão adotar rotinas de auditoria para verificar vulnerabilidades dos seus sistemas de segurança digital, a fim de evitar danos aos usuários. Deverão também contar com políticas de capacitação e de mapeamento corporativo, o que inclui as medidas de “Know Your Employee”, para detecção de riscos no campo dos recursos humanos. Deverão ainda ter sistemas de controle de acessos a dados sensíveis por parte de seus funcionários, de modo reduzir o risco de vazamentos involuntários ou de captação clandestina e intencional de dados pessoais para a comercialização.

 

12. Cooperação internacional

Dados de usuários de Internet e dados de acesso a aplicações de Internet mantidos no Brasil também podem interessar a Estados estrangeiros. E vice-versa, já que a Internet é uma ferramenta global. Por isto, dados de usuários no exterior podem ser úteis a investigações brasileiras. Sendo assim, torna-se necessário construir um quadro normativo adequado para a cooperação entre diferentes jurisdições, especialmente mediante a implementação de tratados de cooperação internacional, que podem ser usados para obtenção transnacional de provas, inclusive digital evidence.

Nestes casos, as ordens de preservação de dados, prevista no Marco Civil da Internet tornam-se ainda mais importantes. O provedor situado no Brasil poderá ser obrigado a manter intactos sem seus servidores os dados de interesse até que o Estado estrangeiro  formalize o pertinente pedido de cooperação internacional. Em alguns países, a reciprocidade será possível. É o caso dos Estados Unidos, onde provedores lá situados podem ser notificados diretamente para a preservação de dados, que posteriormente serão obtidos mediante o apropriado pedido de mutual legal assistance, remetido por meio da autoridade central.

 

Conclusão

Fico por aqui. Gostaria de voltar ao exame do Marco Civil da Internet com mais profundidade. Esperemos a vigência da lei. Alguns problemas de interpretação e de enforcement seguramente surgirão e lacunas serão, pouco a pouco, identificadas. Porém, no cômputo final, a chegada do Marco Civil é algo a se comemorar, pois a lei tem como norte a proteção dos direitos à intimidade e à liberdade de expressão e à neutralidade da Internet. A Lei 12.965/2014 é também mais um indicativo de que o ciberespaço não é uma terra-de-ninguém e que ali (e aqui) pode-se reclamar direitos sonegados ou violados e que se pode exigir o cumprimento de deveres, sempre que estejam em jogo bens jurídicos fundamentais para a vida gregária, na sociedade digital. Os antigos romanos já diziam: onde está o homem, aí deve estar o Direito (Ubi homo ibi societas; ubi societas, ibi jus). Esta é uma imortal lição do jurista Ulpiano, que, tendo morrido em 223 d.C., jamais conheceu a Internet. Mas sabia navegar.