O Marco Civil da Internet e os Dados Pessoais


*Carlos S. Andrade

Estas poucas linhas cuidarão, em determinados aspectos, daquilo que para muitos se revelou num dos maiores avanços no trato da tecnologia no âmbito do sistema legal brasileiro: O Marco Civil da Internet.

Certo que uma variedade de aspectos acerca deste estatuto legal – Lei Federal n. 12.965 de 23 de abril de  2014 - poderia aqui ser abordada, sobretudo porque de certa forma estão direta ou indiretamente vinculados às questões da privacidade e proteção dos dados pessoais, temas recorrentes.

 

Entretanto, o tratamento de todos os pontos indiscutivelmente destoaria dos propósitos do presente escrito, até porque na elaboração da Lei do Marco Civil o legislador não teve como centro de suas preocupações os dados pessoais.

Assim, o limite aqui será a abordagem das questões relacionadas à retenção de dados e o acesso aos dados,  não ignorando pontos relevantes contidos na lei como os princípios que nortearam sua elaboração, e não tratá-los aqui não os fazem temas menos importantes.

O trato sobre guarda e disponibilização de registro no bojo do Marco Civil inicia-se pela Seção II, Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas.1

Como bem destacam Danilo Doneda e Marília Monteiro2 o Marco Civil da Internet deixa claro, a partir da leitura do artigo 10, que os dados de registro e conexão e acesso a aplicações somente poderão ser usados de acordo e nos limites do que autoriza a lei e que tal regra se estende a todos os interlocutores envolvidos, seja o emissor ou o receptor da comunicação, bem como qualquer outro terceiro.

Neste sentido, numa interpretação do dispositivo, parece fora de dúvidas que o Legislador se utilizou da técnica consistente em primeiro estabelecer a regra protetiva para em seguida estabelecer a previsão de retenção de dados, como bem destacam os Autores  retromencionados3.

Neste cenário, e aqui se trata de acesso aos dados, destaque merece o critério internacional adotado pela lei,  por meio da qual o acesso, seja aos dados propriamente, sejam aos metadados - como se diferenciou no artigo 10, parágrafo segundo – somente podem ocorrer a partir de uma determinação judicial.

Percebe-se assim presente na Lei Brasileira a cláusula de reserva de jurisdição, como regra, naquilo que diz respeito ao acesso a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário.

Entretanto, e aqui não se pode deixar de registrar, há uma exceção àquela cláusula no sentido de ressalvar a possibilidade de acesso a dados meramente cadastrais (artigo 10, parágrafo terceiro), sem a necessidade de autorização Judicial.

É Certo que citada exceção à regra da autorização judicial visa permitir, em certas situações específicas, que dados pessoais sejam requisitados por autoridades administrativas como Ministério Público e Polícia Judiciária.

Entretanto, e também como leciona Danilo Doneda4, a requisição destes dados pessoais por aquelas pessoas, sem a autorização judicial, deve estar unicamente relacionada às hipóteses tipificadas na lei, e não pode ocorrer por aplicação analógica o acesso, sem a autorização judicial, de qualquer outro dado a pretexto do uso da exceção prevista no parágrafo terceiro do artigo 10, do Marco Civil da Internet.

Um outro interessante aspecto da legislação em testilha, versada no artigo 11 e nos seus respectivos parágrafos, merece destaque pois ali se encontra a determinação ao Judiciário Brasileiro para aplicar as leis brasileiras quando a/o responsável por qualquer operação de coleta armazenamento, guarda ou trato de dados tenha uma subsidiária no Brasil ou apenas ofereça seus serviços no Brasil.

Isso ganha importância, pois até então vinha sendo recorrentes argumentos de companhias transnacionais no sentido de negar informações a juízes brasileiro ao argumento de que os dados estavam armazenados em servidores no exterior.

À guisa de arremate, não constitui despropósito dizer que a manutenção dos dados, por servidores de aplicação ou de acesso deve respeitar os critérios de  proporcionalidade e de objetivos pelo responsável por sua guarda, na medida em que dados pessoais, mesmo aqueles nominados metadados, podem permitir a identificação de pessoas e revelar informações intimas de determinados usuários. Por isso, vale aqui a observação feita por Stefano Rodotà no sentido de que “As regras sobre a circulação de dados tendem a ser cada vez mais orientadas para considerações de contexto, funções e associações”.5

Neste sentido, isto é, quanto aos princípios da proporcionalidade e dos objetivos na coleta e trato dos dados pessoais, destaque merece o fato de que a legislação brasileira ganhou sintonia com aquilo que há muito já se estabelecia na Comunidade Européia6 - revogada Diretiva 95/46/CE (Regulamento Geral Sobre Proteção de Dados), Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 - onde se lia no artigo 7º (daquela Diretiva) o estabelecimento de princípios, no sentido de que:

“Artigo 7º - Os Estados-membros estabelecerão que o tratamento de dados pessoais poderá ser efetuado se:

a. A pessoa em causa tiver dado de forma inequívoca o seu consentimento;

b. O tratamento for necessário à execução de um contrato no qual a pessoa em causa

é parte ou diligências prévias à formação do contrato decididas a pedido da pessoa em

causa.” 7

Com efeito, o pretexto de arquivar dados com o propósito de investigar crimes não pode ser aceito, na medida em que o cometimento de crimes, ainda que no mundo virtual, no âmbito da rede Mundial de Computadores, constitui exceção, e não justifica a guarda de dados de todos que trafegam na Rede Mundial de Computadores.

Vale aqui, a título de observação final, destacar que o regramento acerca de dados pessoais no âmbito do Marco Civil da Internet em que pese tenha tomado por referências importantes conceitos e princípios de normas diversas e mesmo se balizado pelo critério da autodeterminação informativa, foi passo importante e balizador para o tratamento do tema “Proteção de Dados” no Brasil, que ganhou regramento na Lei Federal nº 13.709, de 14 de agosto de 2018, que será objeto de abordagem em outro momento.

________________________

Notas:

1. Lei Federal n. 12.965 de 23 de abril de 2014, Seção II, Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. 2. Doneda, Danilo. Monteiro, Marília. O Sistema da Privacidade e Proteção dos Dados Individuais no Marco Civil da Internet. Marco Civil da Internet. Gustavo Artese (coord). São Paulo, Quartier Latin, 2015, p. 74/96 3. Idem. 4. Doneda, Danilo. Monteiro, Marília. Op. Cit. P. 83. 5. Rodotà, Stefano. Op. Cit. p. 77 
 6. Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados SECÇÃO II PRINCÍPIOS RELATIVOS À LEGITIMIDADE DO TRATAMENTO DE DADOS Artigo 7º Os Estados- membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se: a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou d) O tratamento for necessário para a protecção de interesses vitais da pessoa em causa; oue) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 1º (grifou-se) . 7. Ver o Novo Regulamento Europeu (GDPR - General Data Protection Regulation) – Vigente a partir de 25 de maio de 2018.

Referências:

 Da Silva, José Afonso. Curso de Direito Constitucional Positivo. 26ª edição, São Paulo: Malheiros, 2006. De Lucca, Newton. Filho, Adalberto Simão (coord). Direito e Internet, v. II, São Paulo, Quartier Latin, 2008.________, Newton. Filho, Adalberto Simão (coord). Direito e Internet, v.III, Tomo I, São Paulo: Quartier Latin, 2015. ________, Newton. Filho, Adalberto Simão (coord). Direito e Internet, v.III, Tomo II, São Paulo: Quartier Latin, 2015.Doneda, Danilo. Monteiro, Marília. O Sistema da Privacidade e Proteção dos Dados Individuais no Marco Civil da Internet. Marco Civil da Internet. Gustavo Artese (coord). São Paulo: Quartier Latin, 2015. ________. Da Privacidade à Proteção de Dados Pessoais. Rio de Janeiro: Renovar, 2006. Geist, Michael. Law, Privacy and Surveillance in Canada in the Post-Snowden Era, Otawa, University of Ottawa Press, 2015. Limberger, Têmis. Direito à Intimidade na Era da Informática. Porto Alegre, Livraria do Advogado, 2007. Lorenzetti, Ricardo. Comércio Eletrônico. Tradução de Fabiano Menke. Notas de Claudia Lima Marques. São Paulo, Revista dos Tribunais, 2004. Payton, Theresa M. Claypoole, Theodore. Privacy in the age of Big Data. New York: Rowman & Littlefield, 2014. Qin, Cheng-De. "Personal data protection in electronic business."Proceedings of the 7th international conference on Electronic commerce. ACM, 2005. Rodata, Stefano. A vida na Sociedade da Vigilância - A privacidade hoje. Maria Celina Bodin de Moraes (Org). Rio de Janeiro:, Renovar, 2008 Rover, Aires José. Direito, Sociedade e Informática: Limites e perspectivas da vida digital. Florianópolis, Boiteux, 2000. Santos, Manoel Joaquim Pereira dos, “Princípios para a Formação de um Regime de Dados Pessoais”. In: Direito & Internet, vol. II, São Paulo, São Paulo: Quartier Latin., 2008, p. 718. Sarmento e Castro, Catarina. Direito da informática, privacidade e dados pessoais. Coimbra, Almedina, 2005. Trope, Roland L. HPCHURCH, Gregory E. Checkpoints in Cyberspace: Best Pratices to Avert Liability in Cros-Border Transactions. Chicago, 2005. Zanon, João Carlos. Privacidade, sigilo e regime jurídico dos arquivos de consumo no Código de Defesa do Consumidor. Revista do Advogado, ano XXXVI, n. 130, agosto de 2016, p. 43-53. EUROPA – Opinião WP 136/EC/Opinion 4.20 de junho de 2007, disponível em http://http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf. Acessado em 12.09.2016.

*Carlos S. Andrade - Advogado em São Paulo. Especialista em Direito e Tecnologia da Informação (USP - 2016) e em Gestão Financeira e Econômica de Tributos (FGV – 2018).