O Comitê Gestor da Internet no Brasil (CGI.br) divulgou nota nesta segunda-feira, 19, contra o avanço de uma proposta de lei que muda as regras para o compartilhamento de dados pessoais de usuários entre provedores e autoridades – como a dispensa de autorização judicial prévia para pedir informações, que consta na norma em vigor, e a ampliação do tipo de dado a ser disponibilizado pelas empresas. A entidade defende que o trâmite em vigor, previsto no Marco Civil da Internet (MCI), não seja alterado.
Trata-se do substitutivo ao Projeto de Lei (PL) 113/2020, apresentado pelo senador Astronauta Marcos Pontes (PL-SP) em novembro do ano passado. Na prática, a proposta cede a reivindicações de promotores e delegados para encurtar o caminho até a determinação de armazenamento e compartilhamento de dados de usuários investigados.
O Marco Civil da Internet prevê que os provedores deverão manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 meses. A lei em vigor prevê ainda que a autoridade policial ou administrativa ou o Ministério Público, pode requerer cautelarmente que sejam guardados os “registros de conexão”, desde que formalize o mesmo à Justiça em até 60 dias e só poderá ter acesso a determinados dados após uma decisão judicial.
Os registros de conexão a serem preservados por lei atualmente são aqueles “referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados”.
Já a proposta de lei aumentaria o prazo de armazenamento dos dados para três anos e excluiria a necessidade de autorização judicial para que as empresas guardem as informações por prazo maior. O PL também determinaria que provedores de aplicações de internet guardem dados de geolocalização e a porta de endereço IP, além de mencionar a possibilidade de requerer a preservação de registros “de aplicações de internet”, que é mais amplo que o “registro de conexão” atualmente previsto na lei.
A título de exemplo de quando se pede além dos registros de conexão é o julgado recentemente pelo Supremo Tribunal Federal (STF) no HC 222141 o qual investigadores solicitaram a guarda de “IMEI’s coletados nas contas vinculadas aos investigados, informações cadastrais, histórico de localização e pesquisas, conteúdo de e-mails e iMessages/hangouts, fotos e nomes de contatos” e a legitimidade para tal foi negada pela Corte (saiba mais abaixo).
No Legislativo, ao justificar a proposta, o senador afirma que, a ampliação dos dados a serem armazenados “são fundamentais para facilitar as atividades de investigação e são utilizadas pela maioria das aplicações de internet”.
Sobre a aplicação do prazo de seis meses para três anos, o senador apresenta como referência um Termo de Ajustamento de Conduta (TAC) firmado no âmbito da Comissão Parlamentar de Inquérito (CPI) da Pedofilia, que pactuou com prestadoras de serviços de telecomunicações e provedores de aplicações de internet o armazenamento de dados por, pelo menos, três anos.
O que diz o CGI.br
O CGI.br entende que o texto proposto “no sentido de ampliar o prazo de armazenamento de dados, incluindo a geolocalização do usuário, porta de acesso do endereço IP e autorizar o acesso aos registros sem ordem judicial, confronta as salvaguardas previstas no MCI e na Lei Geral de Proteção de Dados (LGPD)”.
“A coleta e armazenamento excessivo de dados pessoais, incluindo dados pessoais sensíveis, além de significar grande aumento de custos, podem facilitar modelos de negócio abusivos, e aumento do risco de expor esses dados a incidentes de segurança, complexificando ainda mais as necessidades e capacidades técnicas para o devido tratamento dos mesmos, confrontando as relevantes conquistas trazidas na LGPD”, consta na manifestação da entidade.
O CGI.br ressalta, ainda, que a defesa da manutenção da exigência de autorização judicial para acesso aos registros, “garante os princípios do contraditório e da ampla defesa, que, em vias judiciais, é legalmente estabelecido e caracterizado pela imparcialidade do juízo, bem como o seu não enquadramento como autoridade acusatória”.
O Comitê apoia apenas um dos pontos do substitutivo, que é a exclusão da obrigatoriedade de exigência de apresentação de número de CPF ou CNPJ do usuário para a criação de perfis na Internet, medida que estava prevista no texto inicial, de autoria do senador Angelo Coronel (PSD/BA). Para a entidade, a regra “ampliaria de modo desproporcional e excessivo os dados sob controle de provedores e os riscos de vazamento para usuários”.
No STF
Ao analisar um pedido do Ministério Público Federal (MPF) que discutia a legitmidade do pedido de armazenamento de dados encaminhado à Apple e ao Google no ano passado, que descumpriu prazo e tipo de dado previsto na lei, o então magistrado Ricardo Lewandowski, atual ministro da Justiça, destacou que garantias constitucionais preservam o direito dos usuários.
“A possibilidade de o cidadão administrar e dispor sobre o conteúdo pessoal de e-mails, mensagens, contatos e históricos de localização é uma garantia individual enrijecida pelo direito à preservação da intimidade, da vida privada, da honra e da imagem das pessoas”, […] e somente pode ser mitigada sob a ótica constitucional nos casos expressamente autorizados por lei e, no que importa no caso concreto, nos limites estritos dessa autorização”, afirmou Lewandowski no caso.