Brasil promulga Marco Civil para a Internet
Na semana passada, a Presidente da República, Dilma Roussef, promulgou a Lei n° 12.965, de 23 de abril de 2014, que estabeleceu o marco regulatório do uso da internet no Brasil (Marco Civil da Internet – MCI).
Sua promulgação foi induzida por relatos na imprensa brasileira de que governos estrangeiros (dentre eles, o norte-americano) ou empresas sob sua jurisdição, tiveram acesso a comunicações de membros do Poder Executivo brasileiro. O texto da lei, talvez em decorrência de sua motivação política, é longo e repete de modo redundante princípios gerais presentes na Constituição Federal ou em leis já em vigor, como o Código Civil e o Código de Defesa do Consumidor. Neste artigo, abordaremos suas disposições mais relevantes, muitas ainda sujeitas a regulamentação adicional.
Aspectos contratuais e proteção de dados
O MCI prevê que os contratos para acesso à internet deverão conter informações claras e completas sobre proteção aos registros de conexão (informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP usado pelo terminal para envio e recebimento de pacotes de dados) e aos registros de acesso às aplicações de internet (os endereços eletrônicos que poderão ser acessados por meio de um terminal conectado à internet), bem como sobre práticas de gerenciamento de rede que poderão afetar sua qualidade.
A nova lei contém, entre outras, duas regras principais relativas à proteção de dados:
i) necessidade de consentimento expresso do titular para a coleta, armazenamento, tratamento, transferência a terceiros e uso dos dados por provedores de serviços de conexão à internet e de aplicações de internet; e
ii) direito do titular dos dados a requerer exclusão dos dados pessoais fornecidos a um provedor de conexão ou de aplicações de internet, ao término da relação entre as partes.
O consentimento dado pelo usuário para a coleta, uso, armazenamento, tratamento e transferência de dados pessoais deve ser destacado e separado das demais cláusulas contratuais.
Neutralidade de rede
O MCI determina que a pessoa responsável pela transmissão, comutação ou roteamento de comunicações de internet tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem, destino, serviço, terminal ou aplicação. A lei determina ser ilegal que os prestadores de serviços bloqueiem, monitorem, filtrem ou analisem o conteúdo dos pacotes de dados.
Os casos nos quais será permitida a discriminação ou degradação do tráfego serão indicados em decreto do Presidente da República, sendo limitados a intervenções técnicas indispensáveis para a provisão adequada de serviços e à necessidade de priorização de serviços de emergência. A mudança do tráfego deverá ser informada com antecedência aos usuários, sendo proibidas práticas anticompetitivas e condições comerciais discriminatórias.
Armazenamento de dados e proteção
Registros de conexão e acesso a aplicações de internet, conteúdo de comunicações privadas ou qualquer outra informação que possa identificar o usuário ou o terminal, apenas poderão ser disponibilizados a terceiros mediante ordem judicial. Exceção a esta regra é o acesso a dados de registro que informem qualificação pessoal, filiação e endereço, por autoridades competentes, tais como a polícia e o Ministério Público, como parte de ações de prevenção à lavagem de dinheiro.
O Poder Executivo deverá editar regras estabelecendo padrões para procedimentos de segurança e sigilo.
A lei também prevê regras para armazenamento de registros de conexão e de acesso a aplicações de internet, que são obrigatórios pelo prazo de um ano em relação ao primeiro, e de seis meses em relação ao último. Tais informações deverão ser armazenadas sob sigilo em um ambiente controlado e de segurança. Em relação a registros de conexão, a responsabilidade por tal armazenamento não poderá ser transferida a terceiros. Os prazos mencionados poderão ser estendidos a pedido de autoridades policiais, administrativas ou do Ministério Público. Neste caso, a autoridade requerente deverá ingressar com o pedido formal perante o Judiciário de autorização de acesso à informação armazenada. Nos registros de conexão, o pedido formal ao Judiciário deverá ser apresentado no prazo de sessenta dias.
O MCI proíbe o armazenamento de registros de acesso a aplicações de internet por provedores de conexão, bem como proíbe aplicações de internet de manterem registros de acesso a outras aplicações de internet. A proibição deixa de existir se houver consentimento do titular dos dados.
O procedimento para investigação das violações de regras de proteção de dados, sigilo e privacidade será regulamentado pelo Poder Executivo. Além de responsabilidade civil e criminal, o MCI prevê as seguintes sanções: advertência com prazo para adoção de medidas corretivas; multa de até 10% do faturamento bruto no Brasil do grupo econômico responsável pela infração, no seu ultimo exercício, que poderá variar de acordo com a condição econômica do infrator e da gravidade da violação; e suspensão temporária ou proibição do exercício das atividades especificadas. No caso de empresas não brasileiras, qualquer filial ou escritório no Brasil é responsável conjunta e solidariamente pelo pagamento da multa aplicada. O MCI não indica o órgão que deverá supervisionar as atividades da internet ou aplicar as sanções mencionadas acima. Esta é uma importante lacuna na nova regulação.
As disposições acima da lei brasileira serão aplicáveis sempre que um dos seguintes atos ocorra no território brasileiro: coleta, armazenamento, guarda e tratamento de registros, dados pessoais ou comunicação por provedores de conexão ou aplicações de internet. A lei brasileira também se aplica sempre que um dos terminais envolvidos estiver localizado no Brasil.
Responsabilidade por danos decorrentes de conteúdo produzido por terceiros
De acordo com o MCI, o provedor de serviços de conexão não é responsável por danos decorrentes de conteúdo produzido por terceiros. No que se refere ao provedor de aplicações de internet, a responsabilidade somente existirá se ele deixar de cumprir ordem judicial específica determinando a indisponibilidade de qualquer conteúdo considerado ilegal. Tal ordem deverá conter identificação clara e específica do conteúdo ilegal, de maneira que possa ser localizado. A parte que forneceu o conteúdo deverá, sempre que possível, ser avisada pelo provedor de aplicações de internet das razões que levaram à sua indisponibilidade, com informação suficiente para permitir que possa apresentar defesa efetiva perante o juízo.
Regras mais rigorosas se aplicam ao provedor de aplicações de internet nos casos de imagens, vídeos ou quaisquer outros materiais que contenham cenas de nudez ou atos sexuais de caráter privado. Neste caso, o provedor de aplicações de internet deverá eliminar o acesso ao conteúdo logo que seja notificado por qualquer pessoa que apareça no material, ou pelo responsável legal de tal pessoa, sob pena de responsabilidade.