Este é o décimo primeiro boletim sobre os debates públicos a respeito da regulamentação do Marco Civil da Internet e do anteprojeto de lei de dados pessoais. Confira abaixo as tendências de participação e os temas polêmicos selecionados da semana.

Número e Estatísticas

Regulamentação do Marco Civil: IPv6 e registros de acesso

O Ministério Público Federal (MPF), em sua contribuição para a plataforma de consulta do Ministério da Justiça, demonstrou sua preocupação sobre a possibilidade de identificação de usuários de Internet. Este processo é realizado hoje em dia através dos registros das atividades dos usuários de Internet, que devem ser guardados pelas empresas de Internet e pelos provedores de conexão.

Dentro das previsões do Marco Civil é possível pedir dois tipos de registros, como define o artigo 5º da lei:

VI – registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;

VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.

Através dessas duas informações, conseguidas apenas mediante ordem judicial, as autoridades responsáveis são capazes de, por exemplo, localizar um computador utilizado para realizar um crime e, por fim, encontrar o suspeito do crime. O MPF em sua contribuição argumenta que, atualmente e tal como constam no Marco Civil, essas informações não seriam mais suficientes para encontrar os suspeitos.

O problema apontado pelo MPF tem natureza técnica e está relacionado com os números de IP (Internet Protocol). É através deste protocolo de comunicação que os pacotes de dados (ou seja, todo o tráfego que é realizado) são endereçados de uma máquina a outra na rede. Devido ao crescente uso da internet, o protocolo IPv4 (Internet Protocol versão 4) está se esgotando, ou seja, não há mais números IPs para todos os usuários simultaneamente. A solução definitiva para esse problema seria a implementação do novo protocolo IPv6 que tem maior capacidade de ligar um maior número de usuários ao mesmo tempo. Porém, essa solução definitiva é custosa e tem se mostrado vagarosa.

Frente a esse problema, tal como explica esse vídeo do Nic.br, os administradores de sistemas autônomos estão começando a compartilhar os IPs “versão 4” entre diversos usuários simultâneos, essa solução paliativa desafoga a necessidade de mais IPs. Entre estes problemas está a maior dificuldade em encontrar suspeitos de crimes.

Esta maior dificuldade fica melhor explicada com um exemplo. Imagine que o MPF necessita encontrar a conexão que utilizou determinado IP em determinada hora e data. Normalmente, o número do IP combinado com a hora e a data requisitados levaria a apenas um resultado e esta seria a conexão utilizada pelo suspeito. Com o compartilhamento de um número de IP por vários usuários, este IP requisitado levará a um grande número de conexões naquela hora e data, fazendo com que, por fim, fique impossível determinar qual é a conexão origem da atividade suspeita e quais são as conexões dos demais usuários que não são suspeitos de cometer nenhum crime.

Para solucionar esse problema, o MPF requisitou que, dentro do decreto de regulamentação do Marco Civil, se criasse uma obrigação para os provedores de conexão de guardar, além dos demais dados já pedidos no artigo 10º, os dados relativos a porta de conexão utilizadas pelos usuários. Com esse dado adicional, estaria superado o problema do compartilhamento de IPs e seria possível, novamente, identificar inequivocamente a máquina utilizada pelo possível criminoso.

O maior problema aqui parece ser que a criação de novas obrigações, não dispostas no Marco Civil, não é o escopo do decreto de regulamentação da lei. Por sorte, o processo de migração para o IPv6, que, afinal, é a solução definitiva para o problema, está recebendo grande atenção por parte de diversos atores, entre eles a ANATEL que já determinou datas limites para a sua implementação.

Dados pessoais: registros das operações de tratamento

O artigo 4º do anteprojeto de lei de proteção de dados pessoais busca dar mais transparência ao processo de tratamento de dados e mais poder ao usuário de saber o que é feito com os dados de sua titularidade:

Art. 4. O responsável ou o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (…)

O dispositivo faz menção ao responsável e ao operador dos dados, definidos no próprio texto do anteprojeto (artigo 5º) como a pessoa a quem compete as decisões referentes aos dados e a pessoa que realiza o tratamento de dados em nome do responsável.

Esta regra impõe uma mesma obrigação a um grande número de destinatários que podem não compartilhar dos mesmos recursos ou ainda dos mesmos usos dos dados.

O participante Roberto Taufick levantou uma série de questões com relação ao dispositivo do artigo 4. Primeiramente, ele aponta que o artigo não detalha que tipo de registro deve ser mantido, ou seja, qual o nível de detalhamento das informações sobre o tratamento de dados deve ser mantida em registro.

Outro questionamento feito pelo participante diz respeito a situação dos pequenos provedores de conteúdo. Segundo Roberto Taufick, estes nem sempre terão recursos para arcar com o ônus de manter registros sobre todos os tratamentos de dados que realizam e, mesmo que tenham, esses recursos seriam desviados do campo da inovação, o que seria um grande desincentivo para empreendedores.

Vale lembrar ainda que tratamento de dados diz respeito a diversas ações relacionadas com dados, como se vê no artigo 5º do anteprojeto:

II – tratamento: conjunto de ações referentes a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, transporte, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, bloqueio ou fornecimento a terceiros de dados pessoais, por comunicação, interconexão, transferência, difusão ou extração;

Segundo o participante, o artigo 4º pode acabar criando um custoso ônus para responsáveis que sequer têm no tratamento de dados sua atividade principal.  e esta não parece ser a ideia por trás do dispositivo.Ele sugere um ajuste para o dispositivo do anteprojeto:

“A soluçando (sic) mais adequada parece ser exigir esse tipo de cuidado a partir de um dada dimensão do edge provider: só assim é possível exigir o investimento adequado para melhor conservar as informações pessoais, sem que se fira a inovação, ou se balsamize a internet”

Por Francisco Brito Cruz e Jonas Coelho Marchezan.