Regulação 4.0 - Ed. 2019

12. Tutela da Privacidade, Guarda de Registros e Portas Lógicas no Direito Brasileiro

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Diego Carvalho Machado

Carlos Affonso Pereira de Souza

1. Introdução

A busca da identificação dos cidadãos por parte de entidades estatais baseia-se no interesse da administração pública em individualizar seus administrados 1 . Esse interesse pode estar relacionado com o exercício do poder de polícia ou mesmo com a concretização de direitos prestacionais e de políticas públicas 2 . Por sua vez, para os sujeitos privados, a identificação social tem utilidade para a individuação dos respectivos consortes nas relações sociais. O advento da internet e seu desenvolvimento nas duas últimas décadas, porém, intensificaram o interesse governamental e também de agentes privados na identificação dos usuários da rede; um com marcante propósito regulatório e o outro com motivação eminentemente econômica para o sucesso de modelos de negócios que dependem do conhecimento cada vez maior sobre seus clientes.

Atualmente, essa busca por identificação aparece no Brasil entremeada numa discussão de sensível teor técnico referente ao tráfego de dados online e os registros guardados por provedores de conexão e de aplicação sobre eventos ocorridos na internet. Contudo, esse debate também possui uma importante dimensão jurídica no tocante à tutela da privacidade dos usuários das redes digitais no vigente contexto de hiperconectividade da sociedade da informação.

O Marco Civil da Internet (Lei 12.965/2014, ou simplesmente “MCI”) tornou obrigatória a retenção de registros de conexão e de acesso a aplicação – metadados e endereço IP – pelos provedores de serviço de internet. No entanto, a expansão do fornecimento de conectividade para permitir a interconexão em rede cada vez mais numerosa de usuários e de objetos requer o uso, alternativo e provisório, de um expediente técnico que promove o compartilhamento de endereços IP e suscita a discussão sobre a necessidade do registro de outro dado específico: a chamada porta lógica de origem.

É nessa seara que se coloca a questão a ser investigada cientificamente no presente trabalho: tomando em consideração a disciplina prevista no Marco Civil da Internet e a interpretação e aplicação sistemática da proteção jurídica à privacidade no direito brasileiro, configurar-se-ia a obrigatoriedade da guarda de registros de porta lógica pelos provedores de serviço de internet fundado num dever geral de identificação? O que esse suposto dever significa para o futuro da proteção da privacidade e dos dados pessoais em uma sociedade cada vez mais conectada?

Firmada na concepção de privacidade cujos confins foram modificados para se orientar pelo esquema “pessoa-informação-circulação-controle” com preponderância sobre aquele “pessoa-informação-segredo” 3 , nos dizeres de Stefano Rodotà, a pesquisa tem em perspectiva não apenas a dimensão individual da privacidade, como também a coletiva, já distinguida por Rodotà e recentemente salientada por Alessandro Mantelero, Luciano Floridi, e outros.

O artigo objetiva compreender e delimitar o regime jurídico referente aos registros de porta lógica no ordenamento jurídico brasileiro, notadamente diante da tutela da privacidade e da proteção dos dados pessoais na internet, lançando-se mão do método hipotético-dedutivo e dos procedimentos jurídico-compreensivo e jurídico-comparativo como pautas metodológicas. Para tanto, o texto é estruturado em três partes, a começar pelo posicionamento do direito fundamental à privacidade como elemento central e delimitador dos contornos jurídicos do regime da guarda de registros de conexão e de acesso à aplicação de internet imposto pelo Marco Civil da Internet. Subsequentemente, entendida a atual conjuntura de esgotamento de endereços IP versão 4 (IPv4), fenômeno de alcance global, e concomitante implantação de endereços IP versão 6 (IPv6), a noção de porta lógica e sua serventia serão delineadas para que, enfim, na terceira e última parte, a atividade hermenêutica relativa à individuação do regime aplicável a tal tipo de dado seja levada a efeito. Como conclusão procurar-se-á evidenciar de que forma um tema que, à primeira vista, parece tão restrito a considerações de natureza tecnológica, possui o condão de impactar severamente o exercício de direitos fundamentais e as formas de atuação do Estado.

2. Proteção jurídica da privacidade na internet e guarda de registros

A ubiquidade computacional antevista por Mark Weiser no início da década de 90 do século passado, em que computadores integrariam ambientes físicos invisivelmente 4 , realiza-se com a internet dos dias atuais, que não apenas conecta computadores permitindo a comunicação entre pessoas mundo afora, mas compõe um ecossistema que vai se formando por objetos interconectados em rede e com lastro em sistemas de inteligência artificial, a fim de oferecer serviços personalizados e em tempo real ao (s) usuário (s), seja em aplicações de interesse privado (e. g., smart homes) ou de interesse público (e. g., smart grids para o uso sustentável de energia nas cidades): trata-se da Internet das coisas 5 .

Nesse contexto, o fluxo e o tratamento de informações (pessoais) ocorrem com a mesma ubiquidade, em volume gigantesco e sem precedentes. Além da comunicação e transferência de dados entre pessoas (P2P), crescem exponencialmente a transmissão e o processamento de dados pessoa-máquina (P2M) e máquina-máquina (M2M). Isso decerto faz das questões referentes à tutela jurídica da privacidade e à proteção dos dados pessoais objeto de constante preocupação e debate nos mais diversos âmbitos e fóruns sobre o tema 6 .

Desde sua invenção em meados do século XIX, especialmente devido ao progresso tecnológico obtido com a criação da câmera fotográfica e o desenvolvimento da imprensa 7 , o direito à privacidade acompanha os avanços técnico-científicos e segue sendo transformado por eles tal como as sociedades, economias e culturas, numa interação que é, na verdade, de influência mútua. De lá para cá, os problemas que confluem para a complexa noção de privacidade estão cada vez mais imiscuídos à internet e às suas aplicações integradas à data economy 8 .

Não obstante a amplitude da noção e da heterogeneidade de concepções a seu respeito 9 , no que toca às redes digitais e às interações mantidas na e por meio da internet, a proteção da privacidade pode ser reconduzida a questões que se aglutinam em três grupos 10 : (i) reserva e sigilo sobre o conteúdo das comunicações privadas mantidas por meio de aplicações de internet; (ii) proteção de informações relativas a pessoa natural identificada ou identificável tratadas via data technologies por provedores de serviço de internet, conforme preponderante perspectiva individual da autodeterminação informativa e dos direitos do titular dos dados; e (iii) tutela de usuários/consumidores ou de grupos classificados após a utilização de avançadas técnicas de análise de dados e profiling automatizado, que visam categorizar indivíduos ou coletividades a fim de obter conhecimento preditivo sobre o comportamento individual ou de grupos de pessoas – em consonância, neste último caso, com a dimensão coletiva da proteção de dados pessoais que se tem denominado group privacy 11 .

Para lidar com tais questões, encontra-se no vértice do sistema jurídico brasileiro a previsão constitucional de tutela da privacidade e do sigilo das comunicações privadas (Constituição da República, art. , X e XII), o que tradicionalmente reflete o sentido negativo de confidencialidade e reserva de informações sobre a vida privada. Em interpretação constitucionalmente adequada, porém, entende-se que a norma jurídica também compreende a proteção dos dados pessoais – já num sentido de tutela dinâmica da privacidade 12 – que se aplica durante todo o circuito informativo em que informações de natureza pessoal são tratadas e processadas 13 .

Ainda que de grande importância sob a perspectiva da constitucionalização do quadro normativo de tutela da pessoa humana, a proteção da privacidade não dispensa a regulamentação infraconstitucional para o apropriado enfrentamento das questões mencionadas 14 , sobretudo nas sociedades complexas e tecnologicamente avançadas de hoje.

A Lei 13.709, de 14 de agosto de 2018, preencheu uma significativa carência no ordenamento jurídico do Brasil. Até então, não havia no direito nacional uma estrutura regulatória abrangente e geral a respeito da proteção dos dados pessoais 15 , que agora passa a ser cumprida pela Lei Geral de Proteção de Dados (LGPD), diploma legislativo que entrará em vigor em 16 de agosto de 2020 16 . Em matéria de internet, porém, a Lei 12.965 desde 2014 consagra e impõe princípios e regras que formam um arranjo mínimo para a tutela e promoção do direito à privacidade nas redes digitais. A disciplina desse estatuto legal no que concerne à privacidade e proteção de dados é direcionada (i) para o reconhecimento de normas-princípio e positivação de direitos dos usuários da internet (arts. 3º, II-III, 7º e 8º); (ii) ao tratamento de dados pessoais 17 e guarda de registros (arts. 10, 13-16) 18 ; e (iii) à determinação da lei aplicável em caso com elementos de internacionalidade e conexão com o ordenamento jurídico brasileiro (art. 11).

Bem consideradas as coisas, eis uma das virtudes do Marco Civil da Internet: mesmo não consistindo lei geral de proteção de dados pessoais, estabeleceu importante normativa sobre a privacidade aplicável à internet e ecossistemas interconectados, fortalecendo o sentimento de necessidade de uma legislação de tal natureza no País. Além de a proteção dos dados pessoais ser norma-princípio da disciplina da internet a ser observada “na forma da lei” (art. 3º, III) – é dizer, a LGPD –, diversos princípios da proteção dos dados pessoais foram sancionados – tais como finalidade, transparência e segurança 19 ; direitos dos titulares dos dados e deveres dos provedores de conexão e de aplicação foram positivados em relação às comunicações, informações pessoais e às atividades de tratamento; e as normas jurídicas brasileiras de tutela da privacidade nas redes foram consideradas, em caso de relações plurilocalizadas, de aplicação imediata ou lois de police (art. 11) 20 .

Nesse arcabouço normativo da Lei 12.965/2014, entretanto, destaque merece ser dado àquelas disposições que regulamentam a guarda de registros. O tema transita no campo das categorias de questões da privacidade na internet anteriormente aludidas, como adiante será visto, e está diretamente implicado na solução do problema de pesquisa deste trabalho.

O Marco Civil da Internet cuida de dois tipos de registros, registro de conexão à internet e registro de acesso a aplicações de internet. Aquele é “o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados” (art. 5º, VI). Quanto à noção de registro de acesso a aplicações, a lei assim a delimita: “o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP” (art. 5º, VIII).

Interessante entender o que significa registro nesse contexto. O termo ordinariamente é empregado como sinônimo de log: “[n]os equipamentos que tratam o tráfego na internet, o registro de sucessivos eventos individualmente considerados e armazenados na forma de um arquivo eletrônico recebe [...] o nome de log, sendo cada entrada, ou linha, a representação de um evento” 21 . Portanto, registro é a representação escrita de fato já ocorrido: primeiramente, é gerado na máquina de modo automático, para então, conforme a programação do sistema, ser armazenado on-line ou off-line para uso posterior pelo provedor de serviço de internet 22 .

A geração e armazenamento dos registros de conexão e de acesso à aplicação observam o regime específico estatuído nos arts. 13 a 16 da Lei 12.965/2014, que determina a obrigatoriedade de sua guarda. O sistema, conhecido como de retenção de dados, refere-se à implementação de uma política que estabelece a futura remoção de dados, ou ao menos sua indisponibilidade para usuários comuns 23 .

Quanto aos registros de conexão à internet, são compulsórios o seu armazenamento e guarda pelos administradores de sistema autônomo 24 pelo prazo de um ano. Com relação aos registros de acesso à aplicação, existe dever legal de sua guarda durante o período de seis meses pelos provedores de aplicação constituídos como pessoa jurídica e que exerçam essa atividade de forma organizada, profissionalmente e com fins econômicos. Ênfase deve-se dar à expressa vedação prescrita no art. 14 do MCI: registros de acesso à aplicação de internet não serão guardados pelos provedores de conexão.

Em ambas as situações de retenção, o dever de guardar os respectivos registros só será satisfatoriamente cumprido se atendidas as exigências de segurança da informação e de sigilo.

A cláusula do sigilo remete o intérprete de imediato à proteção jurídica da privacidade 25 , principalmente com relação ao segredo das comunicações privadas e de dados mantidas por meio da internet. Todavia, considerar a guarda de endereços IP 26 e de metadados sobre conexão e acesso à aplicação de internet na perspectiva da inviolabilidade (tutela negativa) e do regime da reserva de jurisdição é incorrer em reducionismo.

A retenção dos registros afeta também os outros dois conjuntos de questões supraindicados que versam sobre a tutela da privacidade nas redes: tratamento de dados pessoais e autodeterminação informativa do titular dos dados; e profiling individual ou coletivo perante liberdades e o princípio da não discriminação.

O primeiro aspecto a ser salientado é a natureza de informação pessoal do endereço IP.

O Internet Protocol consiste em protocolo essencial para o funcionamento da internet, pois permite o roteamento de pacotes de dados e a comunicação entre dispositivos. Para tanto, faz-se necessário especificar origem e destino desses pacotes de dados mediante mecanismo de endereçamento: o endereço IP. A título de exemplo, o conjunto de números 200.148.12.188 seria um endereço IP a individuar uma máquina conectada à internet. Para muitos, tal como o CGI.br, esses dados não têm caráter pessoal, visto que identificam “terminais (dispositivos), não pessoas” 27 , e, além disso – poder-se-ia sustentar –, um único dispositivo pode ser utilizado por vários indivíduos – e. g., membros de uma família.

Não é esse, todavia, o entendimento que parece prevalecer quando se analisa o atual arcabouço legislativo. Ao revés do que já se sustentou 28 , o ordenamento jurídico brasileiro possui sim conceito de dado pessoal, mesmo antes da promulgação da LGPD. Nos termos do art. , IV, da Lei de Acesso a Informacao, informação pessoal é “aquela relacionada à pessoa natural identificada ou identificável”; conceito este que, aliás, foi repetido na Lei 13.709/2018 29 e não difere em essência da normativa europeia de proteção de dados pessoais 30 .

Ainda que o endereço IP seja constituído por números que não identifiquem diretamente pessoa natural usuária da internet, mas um dispositivo conectado à rede, por meios indiretos será ela identificável a partir da associação dessa informação com os dados pessoais obtidos contratualmente pelo provedor de conexão relativamente ao usuário-consumidor, a quem é alocado um endereço IP, seja este estático ou dinâmico 31 - 32 .

Como intermediários cujo serviço é o fornecimento de conectividade à internet, os provedores de conexão coletam informações pessoais como nome, CPF e e-mail, quando da formação do contrato de prestação de serviço, e utilizam-nas para a execução do negócio (e. g., faturamento), seja oneroso ou não. Na medida em que esses provedores possuem em suas bases de dados os registros de conexão armazenados e outras informações de evidente natureza pessoal sobre os usuários-consumidores, esses se tornam identificáveis pela conjugação do endereço IP, metadados 33 e demais informações. Por isso já se afirmou que os provedores de conexão se constituem, na verdade, em “gatekeepers do acesso não apenas à Internet, mas também para a identificação de qualquer usuário em particular” 34 .

O Tribunal de Justiça da União Europeia (TJUE) decidiu em semelhante direção ao julgar os casos C-70/10, Scarlet Extended SA v. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), e C-582/14, Patrick Breyer v. Bundesrepublik Deutschland. No primeiro, a menção à caracterização do endereço IP como dado pessoal é feito em sede de obiter dictum, mas no Breyer case compõe de fato as razões de decidir (ratio decidendi) do julgado a qualificação do endereço IP (dinâmico), nos termos da Diretiva 95/46/CE, como “informação relativa a pessoa natural identificada ou identificável”. Ressalte-se que, nesta última decisão, o TJUE tomou em consideração o fato de o endereço IP ter sido tratado por provedor de conteúdo que não mantinha dados cadastrais do usuário, e avaliou “o conjunto dos meios susceptíveis de ser razoavelmente utilizados” 35 para identificar as pessoas. Concluiu o tribunal que:

“[...] um endereço IP dinâmico registrado por um prestador de serviços de meios de comunicação online quando uma pessoa acessa um sítio eletrônico que esse provedor disponibiliza ao público constitui, relativamente a esse provedor, um dado pessoal na acepção dessa disposição legal [art. 2.º, a, da Diretiva 95/46], quando este disponha de meios legais que lhe permitam identificar a pessoa em causa graças às informações suplementares que o provedor de acesso à internet dessa pessoa dispõe” 36 .

Poder-se-ia ainda dizer, no entanto, que permanece o argumento de que a série de números consubstanciadores do endereço IP pode, por exemplo, ser compartilhada por familiares que habitam a mesma residência e usam vários computadores conectados por rede sem fio. Essa razão, contudo, não é assaz eloquente para romper o liame de identificabilidade entre o endereço IP e o usuário em causa, uma vez que isso é exatamente o que ocorre com relação ao endereço residencial: além de fazer referência a uma edificação, o nome do morador ou moradores não é dele parte integrante, mas mesmo assim o endereço residencial é um identificador indireto considerado dado pessoal 37 – importante inclusive para a qualificação das partes de processo judicial, conforme prevê o art. 319, II, do Código de Processo Civil brasileiro.

Na verdade, vale salientar que esses são exemplos que revelam que, “como pode ser impossível determinar, ex ante, se um específico pedaço de informação irá realmente identificar um indivíduo, precauções devem ser tomadas para proteger a informação que provavelmente o fará” 38 , adotando-se uma abordagem fundada no risco, portanto.

Outro aspecto a merecer ênfase sobre a guarda de registros é a formação de perfis individuais ou coletivos a partir do endereço IP.

“E se uma empresa pudesse digitalmente monitorar indivíduos, apesar das buscas feitas e dos cookies em seus computadores?” 39 Essa é a frase inicial encontrada no sítio eletrônico de uma empresa de marketing que oferece o serviço de IP targeting. A prática tem propósito publicitário e utiliza endereços IP para entregar de forma direcionada anúncios comerciais.

IP targeting não é novidade, mas ganhou nos últimos anos proporções que não possuía anteriormente por agregar o processamento de dados demográficos e de geolocalização, atingindo maior grau de alcance direcionado a certos grupos familiares e socioeconômicos numa região demográfica delimitada 40 . Nesse caso, não existe dependência do emprego de cookies 41 pelo provedor de aplicação para promover o perfilamento (profiling) individual dos usuários e seus interesses, como no início da Web 2.0 se passou a fazer sistematicamente na internet 42 . Além disso, deve-se atentar para o fato de que a formação de perfis não se reduz à dimensão individual apenas, mas se estende à dimensão da coletividade. O tratamento de dados que se opera no IP targeting não só pode distinguir grupos familiares e socioeconômicos – tradicionais categorias sociológicas – em certa localidade, como também pode criar agrupamentos (clusters) como output derivado do uso de tecnologias analíticas de big data baseadas em algoritmos de mineração de dados 43 .

Como destaca Danilo Doneda, a publicidade endereçada sob medida, tal como o IP targeting promove, teria...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1196962089/12-tutela-da-privacidade-guarda-de-registros-e-portas-logicas-no-direito-brasileiro-regulacao-40-ed-2019