Por que a regulamentação do Marco Civil é relevante para você?

Por Rodrigo Azevedo*

Termina na próxima segunda-feira, dia 29/02, o prazo para que qualquer cidadão brasileiro participe da consulta pública sobre a regulamentação do Marco Civil da Internet. A lei, sancionada em abril de 2014, estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, regulando temas como liberdade de expressão na rede, responsabilidade de provedores (de conexão e de aplicações de Internet) e neutralidade.

Efetivamente, a grande maioria das disposições do Marco Civil já tinha aplicação imediata, independentemente de qualquer regulamentação. Assim, centenas de processos judiciais foram propostos desde 2014, com base na lei, visando a compelir provedores a indicarem os autores de fraudes ocorridas na Internet, ou mesmo para que promovessem a exclusão de conteúdos potencialmente ilícitos ou ofensivos. Apesar de ter contribuído para sobrecarregar ainda mais o judiciário, essa sistemática em geral tem funcionado a contento, mediante o célere cumprimento dos requerimentos baseados no Marco Civil, até mesmo para evitar a aplicação das multas diárias usualmente fixadas em Juízo nesses casos.

Porém, alguns artigos dependiam de posterior regulamentação ou suscitavam dúvidas que, se esperava, seriam esclarecidas em futuro decreto. Assim, por exemplo, no que se refere à obrigação de guarda de registros de conexão e de acesso a aplicações de Internet (dever este imposto até mesmo para empresas titulares de um mero site no qual seja operada alguma funcionalidade na Internet), não se sabia, ao certo, como os dados deveriam ser guardados, quais os padrões mínimos de segurança da informação ou de controle de acesso que deveriam ser implementados, etc.

Além disso, no que se refere às penalidades pelo descumprimento dessas obrigações, não se sabia qual seria a autoridade competente para aplicá-las.Também, restou para a regulamentação abordar as exceções à regra da neutralidade da Internet, ou seja a obrigação de tratar de forma isonômica quaisquer pacotes de dados, sem privilegiar uma ou outra aplicação.

Infelizmente, o texto proposto para a regulamentação, cuja consulta pública se encerra em breve, não responde a contento a todas essas expectativas. Vejamos os seus principais pontos:

ABRANGÊNCIA DO MARCO CIVIL

A regulamentação traz insegurança ao afirmar não ser aplicável a “serviços especializados”, ainda que utilizem protocolos TCP/IP ou equivalentes, “desde que não se confundam, em termos de funcionalidade, com o caráter público e irrestrito da Internet”. Na prática, o que estaria sendo excluído do âmbito do Marco Civil de acordo com essa exceção? Apenas ferramentas privadas, usualmente utilizadas por empresas para fins administrativos, mediante senha? Ou seria possível entender que também configurariam “serviços especializados”, excluídos do Marco Civil, até mesmo recursos como o Skype?

Por que é relevante para você?

Uma interpretação ampla dessa exceção impediria a utilização do Marco Civil para a apuração fraudes ou atos ilícitos em canais bastante populares.

NEUTRALIDADE

As exceções à neutralidade trazidas na proposta de regulamentação autorizam a priorização de serviços de emergência (naturalmente compreensível), mas também para o atendimento a “requisitos técnicos”, evitar o “congestionamento de redes”, assegurar a “qualidade de redes” ou mesmo para a “adequada fruição de aplicações”.

Por que é relevante para você?

Com exceções tão amplas e genéricas, um dos grandes êxitos do texto original poderá ser neutralizado na regulamentação, permitindo a discriminação de pacotes de dados, privilegiando determinada aplicação em potencial prejuízo à concorrência e aos consumidores.

ACESSO DIRETO A DADOS POR AUTORIDADES

Cabia à regulamentação detalhar a forma mediante a qual seria permitido o acesso a dados cadastrais dos usuários, sem a necessidade de ordem judicial. A regulamentação não explicita quais são as autoridades autorizadas ou se o usuário deve ou não ser informado sobre a solicitação dos seus dados, nem deixa claro que os registros de conexão e de acesso a aplicações não podem ser revelados sem ordem judicial, etc.

Por que é relevante para você?

Trata-se de tema extremamente preocupante para o resguardo da privacidade dos usuários da Internet, como indica o embate atual, nos Estados Unidos, entre a Apple e o FBI. Na medida em que o Marco Civil autorizou a acesso a dados cadastrais por autoridades administrativas, o ideal seria que a regulamentação detalhasse de forma específica tal hipótese excepcional, sem deixar espaço para abusos.

PADRÕES DE GUARDA DE DADOS

Neste ponto, a regulamentação acertou ao exigir que as empresas passem a adotar política de governança da informação incluindo:

• controle de acesso aos dados;
• mecanismos de autenticação;
• inventário de quem teve acesso aos dados;
• criptografia e medidas tecnológicas para assegurar a integridade dos dados; e
• separação de bancos de dados comerciais.

Essas exigências valem tanto para provedores de conexão, quanto para empresas que possuem uma mera aplicação de Internet, ou seja, um site com funcionalidades.

O detalhamento dos procedimentos e padrões técnicos exigidos foi delegado ao Comitê Gestor da Internet (CGI).

Por que é relevante para você?

Antes dessas definições havia muitas dúvidas no meio empresarial, inclusive no que se refere aos investimentos necessários para que as empresas estivessem efetivamente adaptadas ao Marco Civil.

A opção de não detalhar os requisitos específicos de segurança, remetendo-se a matéria a normativas do CGI permite atualização mais ágil de parâmetros que estão em constante evolução.

FISCALIZAÇÃO

A regulamentação atribuiu a fiscalização do cumprimento do Marco Civil a três diferentes autoridades:

• SNC (Secretaria Nacional do Consumidor) – fiscalização e apuração de infrações nos termos do Código de Defesa do Consumidor;
• SBDC (Sistema Brasileiro de Defesa da Concorrência) – apuração de infrações à ordem econômica; e
• Anatel (Agência Nacional de Telecomunicações) – fiscalização e apuração de infrações referentes à proteção de registros de conexão.

Por que é relevante para você?

Não ficou claro se a competência da SNC se refere apenas a situações de consumo (como seria natural), o que, se for o caso, deixaria um vácuo quanto à autoridade competente para fiscalizar a guarda de dados de usuários em outras circunstâncias, especialmente no que se refere a registros de acesso a aplicações de Internet.

PONTOS AINDA INDEFINIDOS

A regulamentação não trouxe respostas para outras importantes questões como:

• Não foram esclarecidos os critérios para quantificação da multa pecuniária (que pode chegar a 10% do faturamento bruto do grupo econômico no ano imediatamente anterior!). Da mesma forma, a Lei não detalha em que hipótese se aplicariam as demais penalidades, que, em tese, poderiam incluir ordem de suspensão do serviço ilícito.
• Também não foi esclarecido qual deve ser o destino dos dados armazenados após o período legal de guarda obrigatória de um ano, para provedores de conexão, e de seis meses, para provedores de aplicação de Internet. Esses registros poderiam ser mantidos por mais tempo, a critério do provedor? Ou teriam de ser destruídos, em defesa da privacidade dos usuários da Internet?

Por que é relevante para você?

Lacunas legislativas implicam em incertezas, insegurança e no risco de decisões judiciais equivocadas, tal qual ocorrido no peculiar caso envolvendo o WhatsApp, recentemente.

*Rodrigo Azevedo é do Silveiro Advogados.