Os arts. 13 e 15 do Marco Civil da Internet estabelecem obrigações para os provedores de acesso e de aplicações na guarda e no fornecimento de registros de conexão e de acesso a aplicações. 1 (um) ano e 6 (seis) meses, respectivamente. No entanto, não é claro ao especificar a partir de quando conta-se os prazos acima mencionados. Tal divergência pode levar provedores a guardar dados por mais tempo ou mesmo apagarem dados antes do tempo. Seria interessante prever em regulamento que conta-se “a partir do evento que gerou o registro” ou disposição similar a ser refletida. Ainda, nos termos dos § 2o do art. 13 e § 2o do art. 15 tem-se que a autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor que os registros de internet sejam guardados, inclusive por prazo superior ao legalmente estabelecido.
“Período Superior” ou “Prazo Superior”?
É preciso estabelecer um período máximo, pois do contrário, como está na Lei 12.965/2014, a policia poderia pedir a guarda de registros do usuário por anos, décadas, sem qualquer proibitivo. Não estabelecer um período máximo ou especificar o que seja “Prazo Superior” pode representar o logging contínuo das atividades do usuário da Internet, o que viola termos e princípios do próprio Marco Civil
O relatório é criado e guardado até que a ordem judicial o libere. Caso o prazo de um ano expire o relatório já extraído permanecerá enquanto os outros registros serão eliminados.
A guarda dos logs de acesso é importante para o provedor de conexão porque provam que o consumidor usufruiu do serviço.
2. A guarda cautelar deve ser específica, no curso de uma investigação
3. Caso a ordem judicial autorize a manutenção da guarda, ela também deverá ter prazo determinado e proporcional à finalidade específica.
4. Entendemos que o juiz pode demorar mais que 60 dias para decidir sobre o acesso aos registros, mas ele só decide em relação aos 60 dias cautelares – não mais que isso.
5. Sugerimos a adoção de um formulário padrão para o pedido de guarda cautelar com informações sobre solicitante, órgão, finalidade, justificativa legal, data de início
6. Com o devido cuidado com os dados pessoais, deve ser haver a publicação periódica de relatórios sobre a guarda cautelar com informações mínimas sobre quem fez solicitação, órgão, com qual finalidade, se acesso a informações foi concedido, período de guarda total sobre o mesmo indivíduo etc.
Ainda, complementando o comentário acima da Laura, é importante que haja um instrumento formal de solicitação desses dados, uma espécie de formulário, que inclua, entre outros campos:
– Identificação da autoridade policial ou administrativa que está fazendo a solicitação de guarda cautelar (também como forma de verificar sua legitimidade para fazer a solicitação de guarda cautelar);
– Identificação do investigado;
– Identificação do procedimento investigatório (inquérito civil ou criminal, por exemplo);
– Data da solicitação;
– Finalidade da investigação e do pedido de guarda cautelar, para os provedores de aplicações não submetidos à obrigação prévia do art. 15, caput;
– Finalidade da investigação e do pedido de guarda cautelar superior ao tempo previsto em lei, para os provedores de aplicações não submetidos à obrigação prévia do art. 15, caput.
Nas solicitações de guarda cautelar, a regra deve ser a notificação ao usuário sobre a ocorrência desse pedido. Pode haver exceções a essa regra quanto a lei determinar sigilo ou quando houver justificativa que demonstre que a falta de sigilo compromete a investigação.
Tenho total ciência que estas colocações não cabem nesta consulta, mas, como é um espaço aberto para reflexões, recomendo que tomem pra si a responsabilidade de buscar união na sociedade pra detonar os artigos de guarda prévia de dados, seja ele qual for.
Argumentar que possa estar fazendo tempestade em copo d’água é abrir uma brecha para que o vigilantismo avance e os modelos de negócios de dados pessoais no mercado negro continuem a proliferar, até porque tais dados não tem rastreabilidade, oque deve ser tratado ou pensado no APL de dados pessoais.