Informações que valem ouro
Cobiçados pelas empresas, valiosos para a Justiça, os registros dos usuários precisam de proteção e privacidade. Por isso, a sociedade precisa do Marco Civil da Internet.
Texto Áurea Lopes | Ilustrações José Américo Gobbo
ARede nº 88 – jan/fev de 2013
| / Entenda o rastro digital / Quando você liga um computador e se conecta à internet, a sua máquina gera um registro que ficou universalmente conhecido pelo nome em inglês: Internet Protocol, o famoso IP. O IP fica gravado no provedor de acesso à rede, ou, provedor de conexão – pode ser uma empresa de telefonia, uma empresa de transmissão via satélite, uma empresa de TV por assinatura. Esse registro (em inglês, log) de acesso à internet contém um pacote de dados com o IP (endereço do equipamento na internet), a data e o horário em que a máquina foi ligada, e o Greenwich Mean Time (GMT), que é o fuso horário. As mesmas informações são registradas quando o computador é desligado. Nesta reportagem esse log será tratado como log de conexão. Já conectada à rede mundial, a imensa maioria de usuários recorre a um provedor para ter acesso a serviços e a aplicações na internet – o provedor não é obrigatório, pois tecnicamente é possível navegar sem provedor. Esses provedores são empresas que fornecem conteúdos e programas online. E recebem os dados gerados no log de conexão, mas também passam a ter outros dados, como as informações sobre o que cada IP faz enquanto navega na internet – se envia um e-mail, se consulta um site, se assiste a um vídeo, se baixa um software. Esse log de acesso aos conteúdos e aplicações será tratado como log de acesso. Com o cruzamento desses dois tipos de logs, de conexão e de acesso, pode-se delinear o perfil do usuário, conhecer suas preferências, acompanhar seus movimentos, detectar seus interesses. Revela-se o chamado rastro digital da máquina e da pessoa que utilizava a máquina – exceto nos casos de acessos à internet em locais públicos, onde a identificação de usuários é mais complexa. |
UM AGUARDADO projeto de lei patina, no Congresso Nacional, vítima de uma disputa de forças que já impediu sua votação por sete vezes. Trata-se do Marco Civil da Internet, que está sendo chamado de “constituição” da internet brasileira e foi considerado, até por especialistas de outros países, uma regulamentação bastante avançada. Um dos pivôs do impasse é a questão referente à guarda de registros, os logs, dos usuários da rede – outro é a neutralidade da rede, tema da reportagem de capa da revista ARede na edição 86.
Para entender o que essa queda de braço tem a ver com o dia a dia de cada cidadão, da sociedade civil e de poderosos setores da economia, é preciso entender como se forma o rastro digital (ver quadro acima) e conhecer o mapa da batalha. Ou… o mapa da mina. Sim, porque todo o debate gira em torno da possibilidade de ter acesso, guardar e tratar informações que literalmente valem ouro.
São informações sobre os perfis e os hábitos dos internautas. Mostram quem faz o quê e quando na rede mundial. Esses dados podem ser utilizados, por exemplo, para alguém ganhar dinheiro, com promoções de marketing e venda de produtos. E podem representar pistas ou provas decisivas em investigações policiais e ações judiciais.
A guarda dos registros digitais gerou uma espécie de briga para ver “quem fica com a chave do cofre”. Lutam por essa prerrogativa: os geradores das informações, ou seja, os usuários da internet, todos nós, cidadãos; as empresas, ávidas por utilizar esses dados para desenvolver ou fiscalizar negócios; a polícia e a Justiça, encarregadas de caçar cibercriminosos. A grande preocupação é que faltam leis para regulamentar a guarda, de forma a possibilitar os usos necessários – exigências técnicas para o funcionamento da rede, inclusive – sem que sejam feridos direitos civis fundamentais, como o direito à privacidade. A polêmica envolve diversas dúvidas: os logs devem mesmo ser guardados? Por quem? Por quanto tempo? O que deve ser permitido fazer com essas informações?
Vários cenários, que em alguns momentos se interpõem, precisam ser considerados nas respostas àquelas perguntas. Um dos aspectos diz respeito à questão da segurança, no âmbito das investigações criminais e dos processos judiciais. As ocorrências são cada vez mais frequentes. Fotos íntimas espalhadas pelas redes sociais, segredos industriais enviados por e-mail, informações sigilosas de uma empresa passadas para outra por plataformas de compartilhamento de arquivos são exemplos dos casos mais comuns, de acordo com o advogado Renato Leite Monteiro, da Ópice Blum, escritório especializado em direito eletrônico. Patrícia Peck, especialista em direito digital, acrescenta à lista o cyberbulling e a pedofilia. “Além de remover o conteúdo, o atingido quer descobrir o autor do crime”, diz Monteiro.
Por que sim
Aí começa o rastreamento digital. Traçado em cima dos logs. Como as relações estão cada vez mais digitais, muitas provas importantes, hoje, são eletrônicas. “Sem isso, no mundo digital, não há como colher evidências”, assegura Emerson Wendt, delegado da Polícia Federal do Rio Grande do Sul, especialista em crimes virtuais e responsável pela operação Social Engenharia.com, que em 2011 desmantelou uma quadrilha focada em sistemas financeiros online.
A advogada Patrícia conta que, mesmo sem haver uma lei, a guarda de registros tem sido feita como precaução. Empresas do setor financeiro têm guardado dados por cinco a sete anos. Empresas que fazem promoções na web também guardam os logs para identificar os participantes e prevenir ou combater fraudes.
Na falta de uma lei abrangente, nacional – alguns estados têm legislações próprias que determinam a guarda em função dos acessos em lan houses –, a prática, explica Patrícia, tem sido adotar os critérios de guarda das provas analógicas (um documento em papel, por exemplo): “Se tiver relação de consumo, cinco anos; se tiver relação tributária, cinco anos; se envolver contrato entre empresas, três anos, e assim por diante”.
Por que não
O problema, advertem os ativistas da liberdade de expressão na internet, é que, em nome da segurança, essa guarda não pode ser abusiva. “Os indivíduos não podem ser tratados como suspeitos a priori. Os registros devem ser pedidos sob mandato judicial, em processos constituídos”, afirma o pesquisador Paulo Rená, mestre em direito e ciberativista pelos direitos humanos na internet. Isto é, não cabe a uma pessoa ou a uma empresa que se sentiu difamada por um comentário em um blog solicitar ao provedor de serviço os registros do IP de onde veio o referido post. Só um juiz tem autoridade para requerer essas informações, dentro dos procedimentos de um processo judicial. “Além disso, a guarda não pode se eternizar. É fundamental estabelecer regras sobre o que pode ser guardado, o que deve ser guardado, por quanto tempo e em quais condições. Esse conjunto é que vai gerar um ambiente de segurança na rede”, completa Carlos Affonso Pereira de Souza, vice-coordenador do Centro de Tecnologia e Sociedade (CTS), da Fundação Getúlio Vargas.
A proteção ao cidadão foi objeto do texto do Marco Civil em tramitação no Congresso Nacional (ver página 18). A proposta, amplamente debatida com a sociedade civil, por meio de consultas públicas e seminários, determina que esses registros só podem ser solicitados aos provedores sob ordens de autoridades competentes. Até aqui, todos os atores da sociedade aprovam a decisão.
A discórdia se dá em torno do artigo que estabelece a guarda dos logs de conexão por um ano e a guarda facultativa dos logs de acesso. O conjunto de medidas de proteção à privacidade inclui ainda um mecanismo que desencadeou forte reação do setor empresarial: a proibição aos provedores de acesso à internet de guardar os logs de acesso. Traduzindo: quem fornece a conexão à internet pode saber qual é a máquina conectada, mas não pode saber o que essa máquina fez durante o tempo que esteve conectada.
Limites da privacidade
Essa proibição gerou um acirrado embate. Não à toa: o cruzamento dos logs de conexão (quem se conecta) com os logs de acesso (o que faz conectado) permite enxergar um rastro digital sofisticado, que reúne elementos para identificar perfis de consumidores, traçar tendências de mercado, localizar compradores. É como juntar os interesses das pessoas, jogar dentro de uma grande máquina, processar as informações e tirar dessa operação os endereços certeiros de quem quer, por exemplo, comprar passagem para a Malásia, ou trocar a geladeira, ou fazer um curso de literatura espanhola… aí, é só “bater na porta” e apresentar a melhor oferta. Na linguagem mercadológica, monta-se um mailing qualificado, de alto valor econômico. Uma mina de ouro para quem vende. Às custas de uma invasão da privacidade do consumidor.
“É uma violação inaceitável da intimidade. Eu não quero a minha navegação sob vigilância, seja privada ou estatal. As pessoas têm o direito a fazer o que quiserem na rede, que é uma rede onde não é possível não deixar rastro digital. A internet é uma rede de comunicação e uma rede de controle. A pessoa tem o direito de navegar sem ter seu rastro digital analisado por quem quer que seja”, alerta o sociólogo Sérgio Amadeu, ativista da internet e integrante do Comitê Gestor da Internet (CGI.br).
Os provedores de conexão à internet – aqueles que detêm os logs de conexão – querem ter acesso também aos logs de acesso, pois só assim poderão ter os perfis e desenvolver novos modelos de negócios. Eduardo Levy, presidente do Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel Celular e Pessoal (SindiTelebrasil), órgão que agrega os grandes provedores de conexão, afirma que as operadoras não querem ter acesso aos conteúdos das navegações dos usuários: “Não queremos conhecer o teor de um e-mail. Isso é contra a lei. O Google faz isso. A política de privacidade do Google já está ultrapassando os limites. Mas nós não queremos isso. Nós reivindicamos direitos iguais aos dos provedores de acesso. Ou todos têm a guarda dos logs, ou ninguém tem”.
A diferença, rebate Sérgio Amadeu, é que, para navegar na internet, o usuário precisa, necessariamente, de um provedor de conexão. Mas não precisa de um provedor de acesso: “Se eu não quiser que meus dados fiquem na mão do provedor de acesso, posso ter meu servidor de e-mail debaixo da mesa da minha cozinha. Não sou obrigado a usar o Google. Mas sou obrigado a usar a operadora”. O ativista Paulo Rená acrescenta: “Há ainda o risco do uso dos registros para monitoramento do tipo de tráfego, com o objetivo de cobrar mais, o que quebra do princípio da neutralidade da rede”.
A proposta do Marco Civil é exatamente fazer uma vedação, separando o território de domínio de informações das operadoras, os provedores de conexão, e o território de informações dos provedores de acesso, esclarece Monteiro, da Ópice Blum. “O Facebook, por exemplo, não sabe quem está sentado à máquina conectada à sua rede. Pode oferecer seus serviços sem essa informação. Mas uma operadora vai ter todas as informações e poderá juntar tudo, se não houver salvaguardas”, diz o advogado.
Impasse no avanço
O uso dos registros como fonte de receita é “absurdo”, na opinião de Alessandro Molon (PT-RJ), relator do Marco Civil – emperrado no Congresso pela pressão das empresas para ter o direito de guardar os logs de acesso. A grande maioria dos internautas, alerta, sequer sabe que essas informações são colhidas e até comercializadas. “Acho que o texto está maduro para ser votado. Claro que não agrada a todos, mas era preciso fazer uma escolha. Optei por atender os internautas e confio na pressão da sociedade para o texto ser aprovado como está”, destaca o relator. Demi Getschko, diretor do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), ligado ao CGI.br, concorda com os termos do projeto de lei e critica o impasse: “O Marco Civil devia ter sido aprovado há seis meses”.
Mais um aspecto do cenário que não se pode ignorar: outra possibilidade de uso das informações contidas nos logs é a vigilância na rede. Um espectro de ações e intenções que vai do patrulhamento político e ideológico à fiscalização de procedimentos considerados ilegais como downloads de conteúdos protegidos por direito autoral. Para Sérgio Amadeu, “está havendo uma pressão violenta da indústria do copyright em cima de redes P2P”. O artigo 15 do Marco Civil, que trata do tema da retirada de conteúdos, não entra na questão dos direitos autorais. “O locus adequado para tal discussão deve ser o anteprojeto de reforma da lei de direitos autorais, em fase final de debate no Poder Executivo”, diz o texto.
Em outros países, a guarda de logs já teve regulamentações. Rená conta que uma diretiva da Comunidade Europeia determina que o usuário sempre saiba quais dados estão sendo armazenados e com qual finalidade. Mas há posições mais duras. Na Alemanha, em 2010, foi considerada inconstitucional uma regulação que aprovava a guarda dos dados. “Além disso, já foi comprovado que a guarda não ajuda a combater os crimes. Um estudo de 2011 mostrou que, durante o tempo em que a retenção vigorou na Alemanha, foram solucionados 55% dos casos de crimes cibernéticos. No entanto, quando a guarda foi abolida, o índice de solução chegou a 71%”.
A advogada Patrícia Peck é favorável à guarda dos logs “amarrada a um modelo de identidade digital mais forte do que apenas o IP”. Para ela, o Marco Civil, “na boa intenção de preservar a privacidade, acabou por favorecer o anonimato na web”. Com base em sua experiência de investigações policiais, o delegado gaúcho Wendt também defende a retenção dos registros, mas reconhece: “Guardar logs não vai necessariamente coibir a prática dos crimes”. Ninguém tem dúvida de que os peixes grandes do cybercrime conhecem não uma, mas diversas ferramentas para neutralizar a identificação do IP – por exemplo, o projeto TOR, The Onion Router, um software livre que “esconde” todo o rastro digital.
Daqui a pouco…
É preciso pensar a longo prazo sobre a guarda de registros – principalmente porque, em tecnologia, os longos prazos não são tão longos. Não vai demorar muito para esse cenário de identificação das pessoas pelo Internet Protocol (IP) mudar completamente. Em junho do ano passado, foi oficializada a versão mais atualizada do protocolo, chamada IPv6, que gradativamente vai substituir a atual, IPv4.
A grande mudança é que a nova tecnologia permite uma forte ampliação no número de IPs disponíveis. A IPv4 só suporta cerca de 4 bilhões de endereços IP, contra cerca de 340 undecilhões do novo protocolo. “Estima-se entre 1.200 a 1.500 endereços para cada cidadão. Aí, vai ser um problema ligar o IP à pessoa”, explica Sérgio Amadeu, do CGI.br.
Com o IPv6, desenvolve-se o que está sendo chamado de Internet das Coisas. Especialistas dizem que qualquer dispositivo poderá se conectar à rede com um endereço próprio – uma porta programada para trancar, geladeira programada para degelar, um controle de entrada e saída de um elevador – tudo interligado a bancos de dados, centrais de monitoramento.
