Desde a promulgação do Marco Civil da Internet (lei nº 12.965), em abril de 2014, questões relacionadas à guarda de logs e segurança dos dados vinham preocupando empresas provedoras de acesso à Internet. As dúvidas eram, principalmente, com relação à falta de parâmetros essenciais, como, por exemplo, o formato do armazenamento. Divulgada nesta quarta-feira, 27/1, pelo Ministério da Justiça, a minuta de decreto para a regulamentação do Marco Civil determina uma série de diretrizes para tratar das exceções à neutralidade de rede e indicar procedimentos para a guarda de dados por provedores de conexão e de aplicações. Conforme sugerido pelo documento, que está aberto a comentários, os provedores de conexão e de acesso a aplicações devem, na guarda, armazenamento e tratamento de dados, seguir diretrizes sobre padrões de segurança e caberá ao Comitê Gestor da Internet promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, de acordo com as especificidades e porte dos provedores de conexão e de aplicação. O decreto considera dado pessoal como dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos, compreendendo inclusive registros de conexão e acesso a aplicações e o conteúdo de comunicações privadas. Já o tratamento de dados pessoais refere-se ao conjunto de ações referentes a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, divulgação, transporte, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, bloqueio ou fornecimento a terceiros de dados pessoais, por comunicação, interconexão, transferência, difusão ou extração. O texto também fala que as informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet. As diretrizes apontadas são: I – estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários; II – previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros; III – criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou responsável pelo acesso e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, §3º da Lei 12.965, de 2014; IV – uso de soluções de gestão dos registros por meio de tecnologias de criptografia ou medidas de proteção equivalentes para garantir a integridade dos dados; e V – separação lógica de outros sistemas de tratamento de dados para fins comerciais.  Autoridades administrativas Um dos pontos debatidos, sobre as autoridades administrativas, não está esclarecido na minuta de decreto do Ministério da Justiça. Em seu Art. 9, o texto do Ministério da Justiça coloca somente que as autoridades administrativas indicarão o fundamento legal de sua competência para o acesso e motivação para o pedido de acesso a dados cadastrais. O texto esclarece que são considerados dados cadastrais a filiação, o endereço e a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário. A própria lei do Marco Civil já havia dado esta direção no Art. 10, § 3º.  A minuta diz que autoridade máxima de cada órgão público federal deverá publicar anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo: número de pedidos realizados; listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos; e número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações. Em sua edição 14, publicada em setembro de 2015, a revista Abranet tratou sobre a guarda de logs e falou sobre o debate gerado sobre para quem se deve entregar os dados. Conforme apurado pela reportagem, os provedores de Internet devem obedecer à ordem do juiz, e mostrar a quem o juiz determinar. As autoridades podem solicitar a guarda dos registros por prazo superior ao previsto no Marco Civil caso obtenham ordem judicial.  Sem ordem judicial, o entendimento é que o acesso aos dados cadastrais dos usuários independentemente de ordem judicial somente pode ocorrer nas hipóteses expressamente previstas na Lei n.º 12.850/2013 (Lei das Organizações Criminosas) ou na Lei n.º 9.613/1998 (Lei da Lavagem de Dinheiro, tal como reformada pela Lei n.º 12.683/2012). Estas leis trataram do assunto e previram as exceções à regra geral de necessidade de ordem judicial. A minuta de decreto para a regulamentação do Marco Civil da Internet faz parte da segunda fase do debate público sobre a legislação aprovada em abril de 2014. A proposta, que reúne vinte artigos vai à consulta pública, inicialmente por 30 dias, e traz pontos importantes na discussão sobre os efeitos do Marco Civil da Internet. O decreto trata das exceções à neutralidade de rede e indica procedimentos para a guarda de dados por provedores de conexão e de aplicações.  Leia a íntegra da minuta aqui.