junho 19, 2014

[Segurança] O Marco Civil e a Guarda de Logs

No dia 23 deste mês o Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014) entrará em vigor. Sua publicação foi cercada de polêmicas e expectativas, e um dos pontos centrais é a guarda de logs por parte dos provedores de acesso a Internet e provedores de conteúdo (isto é, sites, portais e redes sociais).

Este é um assunto muito polêmico pois envolve vários interesses antagônicos:
  • os provedores de acesso e de conteúdo não tem interesse em guardar logs, principalmente em função do custo operacional envolvido (storage e procedimentos específicos) e por causa da responsabilização judicial caso falhem na guarda de logs;
  • as forças policiais e o poder judiciário tem interesse que a guarda de logs seja realizada pelo maior tempo possível, para facilitar a investigação e punição de crimes cibernéticos;
  • representantes da sociedade que defendem a privacidade não querem a guarda de logs, e ponto final. Acusam isso de vigilantismo por parte das empresas e governos.

Embora não existisse nenhuma lei que regulasse esta questão, até então o mercado considerava a prática de guarda de logs de acesso (incluindo desde grandes provedores até pequenas lan houses) por 3 anos, em função de uma recomendação do CERT.br.

Mas o Marco Civil trouxe diversos artigos que abordam este tema, incluindo a definição de prazos, controles e direitos dos usuários quanto a monitoração e guarda de logs. O texto aprovado diz o seguinte:
  • os provedores de acesso devem manter seus logs por apenas 1 ano;
    • não é permitda a terceirização da guarda dos logs dos provedores de acesso;
    • os provedores de acesso não podem guardar logs dos acessos que seus clientes fazem a sites e aplicações; (*)
  • os provedores de aplicação (sites e portais web) devem manter seus logs por 6 meses;
    • a não guarda dos registros de acesso a aplicações não implica em responsabilidade sobre danos por terceiros.
  • a disponibilização dos registros de log deverá ser precedida de autorização judicial;
  • os provedores somente podem fornecer os logs de acesso a Justiça mediante consentimento formal do usuário final (ou seja, o ciber criminoso pode negar que o provedor guarde os logs de seu acesso e impedir que os forneça para a Polícia!?);
  • as regras de guarda de logs se aplicam a qualquer tipo de acesso em que pelo menos uma das pontas da conexão (usuário ou site) ou uma ação (algum tipo de acesso) ocorra em território nacional. Em caso de empresa sediada no exterior, também se aplica se o serviço for ofertado ao público brasileiro ou se tiver operação ou filial no Brasil.

(*) Ou seja, o provedor de acesso tem obrigação de informar os dados cadastrais de quem utilizou um determinado endereço IP em um determinado horário, mas não pode registrar que tipo de acesso este usuário fez (se ele acessou o site A ou o serviço B).

Segue abaixo uma transcrição parcial do texto final do Marco Civil, contendo apenas os artigos que são relacionados a guarda de logs.

CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
(...)
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
(...)
CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET
(...)

Seção II
Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
(...)
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4º As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
(...)
Subseção I
Da Guarda de Registros de Conexão

Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
§ 1º A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros.
§ 2º A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput.
§ 3º Na hipótese do § 2º, a autoridade requerente terá o prazo de 60 (sessenta) dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput.
§ 4º O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2º, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido protocolado no prazo previsto no § 3º.
§ 5º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 6º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.

Subseção II
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Conexão

Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet.

Subseção III
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações

Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
§ 1º Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado.
§ 2º A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3º e 4º do art. 13.
§ 3º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.
Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º; ou
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
Art. 17. Ressalvadas as hipóteses previstas nesta Lei, a opção por não guardar os registros de acesso a aplicações de internet não implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros.
(...)
Assim, todas as empresas que operam no Brasil ou oferecem serviços a usuários brasileiros tem que se adequar a estas regras, que (convenhamos...), são bem menos exigentes do que o mercado estava acostumado a operar. Venceram os ciber criminosos e os defensores da privacidade.

7 comentários:

Anônimo disse...

No meu entendimento quem venceu foi o governo, pois agora a guarda dos registros de logs é uma OBRIGAÇÃO para os provedores de acesso e aplicação. Antes os logs eram apenas uma boa prática, recomendada pela Cert, e como guarda de logs significa custo, muitos provedores não guardavam os registros ou simplesmente queriam manter a privacidade dos seus usuários. A guarda dos logs é o grande ponto do Marco Civil que vejo de interesse do governo, para que possam ter a garantia de acesso a estes registros retroativos, e usar em processos judiciais, principalmente em eventos políticos, punindo os provedores que não os mantiverem.

human being disse...

Não fica claro quem deve ou não manter logs/registros de conexão.

São só os "administrador de sistema autonomo"? Ou mais alguém?

"Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão"...

Anônimo disse...

Acho que agora com o decreto que regula a lei, os provedores e os sites tem ainda que manter os logs por certo periodo mas nao tem obrigação nenhuka de eliminalos. Pode nos elucidar nisso?

Anônimo disse...

Boa noite, após o decreto que regulamenta a lei, nao entendi se os provedores e sites são obrigados a apagar os logs de registro de acesso, ou se após o período em que eles sao obrigados a guardar os logs eles apagam se quiserem. Pode nos atualizar em relação a isso? O que entendeu?

Anônimo disse...

Os provedores podem guardar os logs após 12 meses ou tem que apagar?

O decreto não explica se eles tem são obrigados a apagar após esse período ou se apagam se quiserem.

Anchises disse...

Após o período obrigatório de guarda de logs, os provedores podem fazer o que quiser com eles, inclusive apagar.

Anônimo disse...

Diferente dos Estados Unidos, nenhuma empresa brasileira informa quando e se os apaga. Eu acho que, contrariando o Marco Civil, elas mantém os logs de registro de acesso a aplicações e vendem as informações sobre tudo o que os usuários acessam.

No marco civil tem algo sobre poder solicitar que as empresas apaguem suas informações, mas nenhuma oferece oportunidade de pedir isso.

Quando a lei estava sendo discutida se previa um periodo máximo para a guarda de logs, ou seja, seri excluidos. Isso simplesmente foi esquecido.

Só não entendi uma coisa. Uma vez que o usuário termina contrato com o provedor, passados 12 meses obrigatórios da guarda, ela deveria ser obrigada a apagar os registros. Na lei isto esta dubio e mal escrito, pra variar.

Preciso dessas informações para monografia de faculdade.

Obrigado!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.