A grande inovação nas últimas versões do Marco Civil da Internet diz respeito à proteção da privacidade que passou a ser objeto de regulação mais ampla depois das denúncias de espionagem dos Estados Unidos por Edward Snowden. Há dois eixos principais sobre a questão no Marco Civil: a guarda de logs (registros de conexão e de acesso) e os limites para guarda e uso de dados pessoais.
A restrição à guarda e uso de dados pessoais não estava prevista no projeto original já que havia uma iniciativa paralela e complementar ao Marco Civil que era a Lei de proteção de dados pessoais (elaborada pelo Ministério da Justiça e há anos aguardando um parecer da Casa Civil). Após as denúncias de Snowden, alguns elementos básicos da lei foram antecipados no Marco Civil e aparecem nos artigos 7o e 16o.
Art. 7º O acesso à Internet é essencial ao exercício da cidadania e ao usuário são assegurados os seguintes direitos: (...) VI - a informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de Internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; e VII - ao não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de Internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII - a informações claras e completas sobre a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justificaram sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet. IX - ao consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X - à exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de Internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
(...)
Art. 16. Na provisão de aplicações de Internet, onerosa ou gratuita, é vedada a guarda:
I - dos registros de acesso a outras aplicações de Internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º; ou
II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
Os incisos VI a X do artigo 7º estabelecem que a coleta de dados pessoais e o uso que se fará dos dados precisam ser informados ao usuário e os dados coletados só poderão ser utilizados para aquele fim e não poderão ser repassados a terceiros sem o consentimento do usuário. Esses direitos são os mais elementares para impedir que empresas coletem dados para fins outros que não o da prestação do serviço ou da apresentação de publicidade e que não possam legalmente repassar dados para terceiros sem a autorização expressa do usuário, como acontece hoje. O inciso X diz ainda que o usuário poderá solicitar a destruição dos dados quando deixar de usar um serviço. Regulação adicional como a que dispõe sobre a interconexão de bancos de dados foi deixada para a tão aguardada Lei de proteção de dados pessoais. O artigo 16 proíbe que um serviço monitore o acesso a outros serviços sem o consentimento do usuário -- por exemplo, que uma vez conectado ao Facebook ou ao Google, o acesso a outros sites parceiros dessas empresas seja monitorado e os dados enviados para elas sem o consentimento do usuário.
O controverso dispositivo que obrigava a guarda dos dados no Brasil por prestadores comerciais de serviço caiu. Ao contrário de outros comentadores, eu sou da opinião que ele era relativamente inócuo do ponto de vista da proteção da privacidade, mas que teria efeitos positivos de política industrial ao criar custos para atuação de empresas transnacionais no Brasil, abrindo espaço para a competição de atores nacionais. De qualquer modo, sua supressão apenas retira um ponto desnecessário de divisão entre aqueles que querem ver o Marco Civil aprovado.
Os artigos 13 a 15 tratam da guarda de logs, isto é, dos registros de conexão e de acesso a sites e serviços:
Art. 13. Na provisão de conexão à Internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.
(...)
Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de Internet.
Art 15. O provedor de aplicações de Internet constituído na forma de pessoa jurídica, que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos, deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de seis meses, nos termos do regulamento.
O artigo 13 estabelece que os dados de conexão, isto é, os dados de que Fulano que tem tal cadastro, acessou a internet durante tal período com tal IP, serão mantidos por um ano -- prazo que é prorrogável se houver autorização da justiça. O artigo 15 estabelece que os serviços de Internet (por exemplo, os sites) devem manter registros de acesso (do tipo IP tal utilizou o site em tal dia e horário) por seis meses, também prorrogáveis com autorização de um juiz. A necessidade de guarda de registro de serviços só se aplica a empresas, mas um juiz pode estender a obrigação a provedores de serviços não comerciais. O artigo 14 estabelece que o provedor de acesso à Internet -- por exemplo, a Telefônica -- não pode monitorar os serviços que você utiliza (por exemplo, os sites que você acessa).
A guarda de registros é relevante para a proteção da privacidade porque o cruzamento dos registros de conexão e acesso permite estabelecer, por exemplo, que Fulano acessou no dia tal, em tal horário a página do MST ou do Black Bloc ou, ainda, que postagem que convocava manifestação publicada no dia tal e à hora tal vieram do IP tal cujo usuário cadastrado é Fulano.
A discussão sobre os prazos para guarda de registros é, na minha opinião, o principal revés no que diz respeito à proteção à privacidade. Versões anteriores do Marco estabeleciam prazo de seis meses para a guarda de registros de conexão e a proibição da guarda de registros de acesso a serviços. No entanto, houve muita pressão de órgãos de investigação (polícias e Ministério Público) para a guarda desses dados e a atual redação é provavelmente o equilíbrio possível.
Por fim, o preocupante parágrafo 3º do artigo 10 estabelece uma exceção para as autoridades administrativas que podem ter acesso aos dados cadastrais sem autorização judicial:
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de Internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas. (...) § 3º O disposto no caput não impede o acesso, pelas autoridades administrativas que detenham competência legal para a sua requisição, aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei.
Essa injustificável exceção repete a porta deixada aberta ao Estado para a violação da privacidade que também está na última versão pública da Lei de proteção de dados pessoais. O parágrafo terceiro diz que as proteções trazidas pelo Marco Civil não vão impedir que o Estado tenha acesso a dados cadastrais, seja de provedores de conexão, seja de provedores de serviço -- em outras palavras, autoridades do Estado poderão solicitar tanto a empresas como a Telefônica, como a empresas como Facebook e Google os dados cadastrais de usuários sem autorização judicial -- poderão ter acesso, por exemplo, aos dados cadastrais de um login que fez comentários de natureza política no Facebook, no Twitter ou num blog sem precisar de autorização de um juiz. As implicações para a privacidade são óbvias.