** Esta postagem é parte de artigo mais extenso sobre o debate brasileiro de regulação de plataformas. Clique aqui para acessar o conteúdo completo.

Dadas as novas obrigações que o PL 2630 estabelece para os provedores de aplicação, incluindo regras específicas para situações de crise, é importante deixar claro no PL que nenhuma de suas disposições implicará mudanças nos sistemas das plataformas para introduzir vulnerabilidades de segurança ou comprometer as proteções de privacidade por padrão. Isso é de vital importância para preservar as implementações de criptografia de ponta-a-ponta em aplicações de internet e prevenir intuitos de enfraquecer os princípios e proteções fundamentais da criptografia.

Nesse sentido, a Declaração Conjunta de 2016 dos Relatores Especiais para a Liberdade de Expressão que trata dos esforços do governo para combater o extremismo violento enfatiza que os Estados não devem adotar e devem revisar leis e políticas que envolvam medidas que enfraqueçam as ferramentas de segurança digital existentes. O artigo 8º do PL 2630 já estipula que as medidas que os provedores implementem em conformidade com o projeto de lei devem preservar a segurança da informação e a proteção de dados pessoais. Isso é bom, mas a disposição deve ir além para repelir explicitamente aplicações da lei que busquem introduzir vulnerabilidades nos sistemas das plataformas ou fazer com que as aplicações de internet adotem outras medidas que possam aumentar sistematicamente o risco de incidentes de segurança.

Além disso, o projeto de lei contém regras que ampliam as obrigações de retenção de dados existentes. Neste ponto, a Declaração Conjunta de 2015 sobre situações de crise afirma que “requisitos para reter ou práticas de retenção de dados pessoais de forma indiscriminada com o fim de aplicação da lei ou segurança não são legítimos. Pelo contrário, os dados pessoais deveriam ser retidos por motivos de aplicação da lei ou segurança apenas de forma limitada e direcionada e de uma maneira que represente um equilíbrio adequado entre as necessidades de aplicação da lei e de segurança e os direitos à liberdade de expressão e privacidade”.

A previsão mais problemática relacionada às obrigações de guarda de dados se encontra no artigo 46 do PL 2630. O texto exige que as aplicações de internet guardem os metadados associados a todos os conteúdos que forem removidos ou desativados como consequência das regras do PL 2630 ou por ordens judiciais. Embora possa parecer, à primeira vista, uma medida “direcionada”, relacionada a um conteúdo potencialmente ofensivo, o volume de conteúdos restringidos enquadrados pela regra tende a ser enorme pela própria natureza e dinâmica da criação de conteúdos por usuárias e usuários em grandes plataformas. Se faz sentido guardar o conteúdo restringido por um período específico, a redação do projeto de lei é muito ampla quanto aos metadados que as aplicações de internet teriam que armazenar junto com esse conteúdo. 

De acordo com o Artigo 46, a obrigação de guarda inclui “quaisquer dados e metadados conexos removidos” juntamente com o conteúdo, bem como "os respectivos dados de acesso à aplicação, como o registro de acesso, endereço de protocolo de internet, incluindo as portas de origem, além de dados cadastrais, telemáticos, outros registros e informações dos usuários que possam ser usados como material probatório, inclusive as relacionadas à forma ou meio de pagamento, quando houver". O período de armazenamento é de 6 meses, podendo ser prorrogado.

A Autoridade Nacional de Proteção de Dados (ANPD) emitiu uma declaração criticando a natureza vaga de disposições do projeto de lei que estabelecem a coleta de dados pessoais para fins de investigação criminal, com referências específicas à redação do Artigo 46. De acordo com a ANPD, “[o] PL nº 2630/20 estabelece obrigações de guarda de dados para fins de investigação criminal, valendo-se, para tanto, de expressões vagas e imprecisas, o que pode levar a uma ampliação desproporcional da coleta de dados pessoais ou, ainda, ao rastreamento e à vigilância abusivas sobre titulares de dados pessoais". A autoridade brasileira de proteção de dados destaca que as autoridades governamentais devem observar a necessidade de definir as finalidades específicas para o tratamento de dados pessoais, limitar esse tratamento ao estritamente necessário para atingir essas finalidades, adotar medidas de segurança proporcionais aos riscos envolvidos e garantir ampla transparência das operações realizadas com os dados pessoais. Nesse sentido, a ANPD recomenda que os legisladores revisem o texto do projeto de lei para indicar expressa e explicitamente quais dados podem ser coletados.

Considerando os princípios de finalidade, necessidade e prevenção assegurados na Lei de Proteção de Dados Pessoais brasileira, a guarda padrão de metadados associados a conteúdos restringidos estabelecida no PL não deve ir além das regras de retenção de dados já  estipuladas no Marco Civil. Com a guarda de registros de acesso a aplicações prevista no Marco Civil, que inclui o endereço IP do usuário, as autoridades podem iniciar uma investigação e, no âmbito de seus procedimentos, solicitar informações adicionais ou outras verificações conforme necessário e dependendo de cada caso.