Marco Civil, "cadastro obrigatório" e Log-Zero!

ATENÇÃO: Para a redação deste texto foi utilizada como referência a minuta do "Marco Civil" recuperada em 5 de maio de 2010, ás 02h10, no endereço http://culturadigital.br/marcocivil/debate/ (É um texto em construção, talvez o que vc. leia aqui não seja mais verdadeiro em alguns dias. Na verdade eu conto com isso).

A minha motivação para este texto foi analisar a hipótese de se a redação (do Marco Civil) consultada permite, ou não, a interpretação, de que haja na lei uma necessidade/obrigatoriedade de "cadastro obrigatório para acessar a Internet no Brasil", conforme foi aventado no Twitter de diversos cyber ativistas brasileiros entre 04 e 05 de Maio de 2010.

Bom, primeiro é importante deixar claro que escrevo este texto sendo totalmente contrário a qualquer tipo de cadastro obrigatório para o acesso à Internet, uma tal proposta seria #fascista no mínimo. Também é necessário fazer justiça ao Marco Civil que não faz esta proposta frontalmente. O problema reside em diferentes proposições, ao longo do texto, que sugerem (na redação atual) a manutenção de logs de acesso que seriam mantidos por um período de tempo determinado. Em especial creio que estes tweets refletiram bem esta preocupação:

,

e

. Há ainda mais um que eu simplesmente não consigo localizar (deletado?) e este aqui

que é correlato, mas creio faz referência ao projeto do Sen. Azeredo. Existem centenas de outros, mas queria apenas ilustrar o ponto.

Creio que as proposições (de oficialmente manter logs) abrem um possibilidade perigosa para que um cadastro obrigatório/compulsório seja obtido pelo cruzamento destes logs. Logs que o projeto de lei do Marco Civil parecem formalizar como sendo de retenção obrigatória por um certo período. A primeira vez que eu ouvi falar sobre esta retenção de logs neste projeto de lei foi no último FISL em POA e, mesmo então eu já havia ficado desconcertado com isso, mas me desinteressei do assunto pois imaginei que ninguém aceitaria esta abordagem. É eu sei. Foi mal.

Meu entendimento é que a manutenção de logs de acesso, guardados por quem quer que seja, pelo período de tempo que for, fere diretamente direitos civis básicos e equivale sim a um cadastro compulsório para quem acessar a Internet no Brasil.

Mas vamos à Lei.

O Artigo 2º estabelece com clareza as liberdades e garantias esperadas pelos usuários, incluindo aí a privacidade e o direito à livre manifestação. Perfeito.

O Artigo 4º, parágrafo VI estabelece o que são os "registros de acesso a serviços de Internet" definindo-os como "o conjunto de informações referentes à data e hora de uso de um determinado serviço de Internet a partir de um determinado número IP". É importante frisar que é exatamente isto que entendo por log quando uso a palavra do idioma inglês aqui neste texto.

Já no Capítulo II, Art. 7º são definidos os direitos do usuário. Aqui o parágrafo primeiro estabelece como direitos "à inviolabilidade e ao sigilo de suas comunicações, salvo por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;" e no Parágrafo IV amplia as garantias do usuário determinando "à não divulgação ou uso de seus registros de conexão e registros de acesso a serviços de Internet, salvo mediante seu consentimento expresso ou em decorrência de determinação judicial". O que convenhamos, parece apenas razoável, mas creio que já aqui os dois pontos poderiam ter uma redação mais específica. Voltaremos a eles mais tarde.

O Art. 8º sedimenta as garantias assegurando ao usuário privacidade, liberdade de expressão e por meio de uma Parágrafo Único ainda frisa que o usuário pode adotar medidas próprias para garantir estes objetivos. O que é ótimo pois creio que legaliza as criptografias e a utilização de programas como o TOR. (Veja: http://www.torproject.org/ )

Para mim as coisas começam a ficar embaraçadas do Capítulo III em diante, quando no Art.9º "impõe a obrigação de guardar apenas os registros de conexão, nos termos da Subseção I da Seção III deste Capítulo, ficando vedada a guarda de registros de acesso a serviços de Internet pelo provedor."

Somemos a isto o que segue no Art.14 que determina "A provisão de conexão à Internet impõe ao administrador do sistema autônomo respectivo o dever de manter os registros de conexão sob sigilo, em ambiente controlado e de segurança, pelo prazo máximo de 6 (seis) meses, nos termos do regulamento"

Já o Art.15 vai tratar específicamente da "guarda de registros de conexão" e determina em cada parágrafo:

"I – os registros de conexão somente poderão ser fornecidos a terceiros mediante ordem judicial ou por autorização prévia e expressa do respectivo usuário;

II – os dados cadastrais somente poderão ser disponibilizados de maneira vinculada aos registros de conexão mediante ordem judicial; e

III – as medidas e procedimentos de segurança e sigilo dos registros de conexão e dos dados cadastrais devem ser informados de forma clara aos usuários.

Parágrafo único. Os procedimentos de segurança necessários à preservação do sigilo e da integridade dos registros de conexão e dos dados cadastrais referidos neste artigo deverão atender a padrões adequados, a serem definidos por meio de regulamento."

Vejam é esta parte em vermelho que me causa pânico. Primeiro se recuperarmos o Art. 7º havia uma proposição de que o sigilo das comunicações fosse quebrado apenas mediante "(...) ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;" e no Parágrafo IV há um texto que não consigo entender (possivelmente por não ser advogado) onde é dito que registros de "registros de conexão e registros de acesso a serviços de Internet" poderiam ser divulgados "(...) mediante seu consentimento expresso ou em decorrência de determinação judicial". O que eu não consigo entender é justamente a razão pela qual alguém abriria mão voluntariamente de sua privacidade. Não é como abrir mão do sigilo telefônico, é mais o equivalente a abrir mão do conteúdo das conversas. Coisa doida.

Se "registros de conexão e registros de acesso" existirem guardados em algum lugar como menciona o Parágrafo IV do Art. 7º e considerando que o Art.15, Parágrafo II deixa clara a possibilidade de vinculação entre dados de conexão e dados cadastrais, o que significa o fim da privacidade. Simples assim.

E como para unir o insulto à injúria o Parágrafo Único do Art.15 me apavora ao não deixar muito, muito, muito claro qual a forma de guarda destes logs. (Pode até não ser a função da lei definir isso, mas não ter clareza sobre como isso se dará me causa calafrios).

Há ainda, pelo menos na forma como leio, uma confusão sobre a guarda dos logs, se continuarmos acompanhando a proposta do Marco Civil, descobriremos que na Subseção II, que tratará especificamente "Da guarda de registros de acesso a serviços de Internet" em seu Art.16, há o seguinte:

"A guarda de registros de acesso a serviços de Internet dependerá de autorização expressa do usuário e deverá obedecer ao que segue, sem prejuízo às demais normas e diretrizes relativas à proteção de dados pessoais:

I – informação prévia ao usuário sobre a natureza, finalidade, período de conservação, políticas de segurança e destinação das informações guardadas, facultando-lhe o acesso, retificação e atualização sempre que solicitado;

II – consentimento livre e informado do usuário previamente ao tratamento, à distribuição a terceiros ou à publicação das informações coletadas; e

III – os dados que permitam a identificação do usuário somente poderão ser disponibilizados de maneira vinculada aos registros de acesso a serviços de Internet mediante ordem judicial."

O consentimento prévio do usuário não é compatível com a possibilidade da justiça solicitar a entrega dos logs. Veja se a justiça pode solicitar algo que já existe o usuário consentiu exatamente com o que? Nem me parece compatível com aquela determinação anterior de manutenção dos logs por seis meses. Provavelmente isso é apenas uma falha na redação, ou minha incompreensão do juridiquês, seja como for, soa contraditório.

A matemática que se extraí disso tudo é bastante clara:

"dados cadastrais + registros de conexão = cadastro obrigatório"

Ou se o gentil leitor preferir, cadastro compulsório, portanto sem anonimato, portanto incompatível com a redação que pretende facultar ao usuário a liberdade de ter ou não seus dados gravados (o que, como eu disse lá em cima, de saída já era muito estranho mesmo).

Esta não é uma teoria de conspiração, é só o básico sobre bancos de dados. Pergunte a um analista de sistemas se ele consegue saber o que você estava fazendo, se ele puder cruzar seus dados cadastrais com um endereço IP e um evetual log de servidor a que ele tenha acesso. É um perigo real e os cruzamentos podem ser feitos automaticamente e em larga escala sem aplicação de muita tecnologia.

Os defensores da manutenção de logs costumam defender seu ponto de vista com a idéia estranha de que é necessário preservar a "cena do crime" caso alguma investigação surja, mas mantendo os logs guardados eles farão isso antes de sequer saber se houve ou se haverá um crime. É justamente por isso que defendo a idéia de que manter o texto desta forma no Marco Civil equivaleria a terminar com a presunção de inocência de todos os brasileiros.

Primeiro não é correto guardar logs sobre gente que é, até prova em contrário, inocente. Uma analogia que permite tornar mais clara a minha preocupação é a seguinte:

Imagine se, só por precaução, uma nova lei propusesse gravar todas as conversas telefônicas alegando algo como: "Não se preocupe. Ninguém vai ouvir, vamos apenas manter as gravações para o caso de precisarmos investigar um crime com você envolvido. E mais. Só vamos gravar seu número de telefone, seu nome só aparecerá se um juiz pedir para cruzarmos seu número com o cadastro de assinantes"

Isso é ilegal, errado e perigoso. A presunção de inocência é uma premissa básica no nosso sistema judiciário e manter logs preventivos viola essa premissa. Eu me sentiria meio inglês se começássemos a fazer isso.

Privacidade é um direito fundamental na democracia. Se você soubesse que TODAS as suas conversas telefônicas estariam guardadas por três anos, só esperando alguém tentar descobrir alguma coisa contra você ou te implicar em algo para ouvi-las, você agiria de maneira diferente, não falaria o que fala e teria medo de defender suas idéias. E isso minaria a democracia, dando espaço para todo tipo de abuso.

Eu acredito que o Brasil precisa ser melhor do que isso, e o pior é que a manutenção de logs, que EU SEI NÃO É UMA BANDEIRA do pessoal do Marco Civil, mas do pessoal do Sen. Azeredo, é uma proposta de controle muito primária. Existem dezenas de maneiras de burlar esses registros. A manutenção destes registros, no fim, seria apenas um controle sobre o cidadão comum, os bandidos e os técnicos nunca seriam pegos. Estaríamos sacrificando a liberdade geral em troca de nenhum acréscimo na nossa segurança.

O Marco Civil não pode entregar a geração de logs como uma concessão, esperando evitar um mal maior que hoje é patrocinado pelo pessoal do "lado negro". É uma concessão muito grave e muito séria, que vai na contramão das propostas extremamente inovadoras do Marco Civil. Log-Zero é o único caminho razoável.

Também acho que é importante deixar claro que estas propostas de controle, manutenção de logs, monitoramento e afins existem por conta da viabilidade técnica. É apenas por conta da viabilidade técnica que elas são seriamente consideradas. Não imaginem que isso é ficção científica. É fácil de fazer e nem precisa de técnicos muito competentes.

Grupos econômicos, políticos reacionários, governos autoritários e seus congêneres não piscariam em soterrar os princípios fundamnentais da democracia em nome do controle e da manutenção de seus privilégios e poder. Eles na verdade propagandeiam essas ações terríveis para toda a sociedade em nome de uma suposta "segurança" que, na verdade, é um embuste. Um cavalo de tróia, colocado na nossa porta para infiltrar todo tipo de controle, seja político, seja ideológico, seja moral, seja econômico.

Se o gentil leitor chegou até aqui, deve estar se perguntando: "Tá legal seu mala, e daí? Qual é a proposta?"

Quem bom que você perguntou!

Eu creio que o principal é deixar muito claro no Marco Civil que logs (registros) não podem ser mantidos preventivamente sob nenhuma hipótese.

Seguindo uma idéia que não é minha (é do @Parlatorus), os logs da rede deveriam funcionar como as escutas telefônicas, ou seja, seriam justificados após a suspeita de um crime e não antes! É uma questão básica sobre justiça e sobre nossos direitos civis.

Não pode haver, para nenhum governo ou sistema judicial, a possibilidade de voltar no tempo para verificar registros de um suposto crime. Não apenas a idéia de preservar uma cena do crime antes do crime ser cometido, é maluca, como também ACABA com a presunção de inocência.

Pior. Se existirem logs sobre o passado sempre haverá a possibilidade de que se vasculhem estes logs sob uma falsa acusação de crime, procurando na verdade qualquer coisa que possa ser usada como embaraço, constrangimento ou ataque jurídico às pessoas em geral. Cairemos no velho problema sobre "quem vigia os vigilantes".

Dados cadastrais NUNCA poderão ser vinculados com os dados de conexão. Tem que estar claro no marco Civil que se houver um log para fins técnicos, os dados precisam ser anonimizados na entrada e que a query de recuperação precisa ser impossível.

A quem diabos interessa manter os logs do que a população faz na rede? Como se justifica isso? Não consigo pensar em nada que não envolva ameaças a direitos civis.

No fim é tudo muito simples: Não podemos ser identificados na rede e nem vigiados. Essas possibilidades não devem existir e o Marco Civil é a nossa melhor chance de garantir isso.

Para finalizar (Uau! você leu até aqui?!? Compre um vídeo-game!) me ocorrem as palavras do Millôr: "Uma desgraça nunca vem só. No Brasil vem sempre acompanhada de ameaças à democracia." (

)

Rubens Menezes
Este texto deve pode ser encontrado aqui http://www.rbns.com.br

Ah! Quase esqueci: Este texto é Creative Commons Zero tá? Claro que mesmo assim citar a fonte continua sendo boa educação.
(http://creativecommons.org/publicdomain/zero/1.0/deed.pt_BR)