O Marco Civil da Internet (Lei 12.965/2014) estabeleceu em seus artigos 13 e 15, respectivamente, o dever de guarda dos registros de conexão por um ano, aos provedores de conexão, e o dever de guarda dos registros de acesso a aplicações de Internet por seis meses, aos provedores de aplicação, o que inevitavelmente exige o tratamento de dados pessoais.
Os provedores de conexão, obviamente, são aqueles responsáveis por fornecer os serviços de conexão à Internet, como Vivo, Claro e outras. Já os provedores de aplicação, são aqueles que fornecem um conjunto de funcionalidades acessíveis por meio de um terminal, como um computador, celular, conectado à Internet. Logo, provedores de serviços de e-mail, como Gmail ou Hotmail, redes sociais, como Facebook ou Twitter, geradores de conteúdo, como UOL ou Globo, ou serviços de comércio eletrônico, como Mercado Livre, OLX ou mesmo websites de pequenas empresas, encaixam-se no conceito de provedores de aplicação e deverão cumprir tal obrigação.
Essa atividade de tratamento de dados pessoais, ou seja, o armazenamento dos registros de conexão e acesso, sob o ponto de vista da Lei Geral de Proteção de Dados (Lei 13.709/2018), coloca referidos provedores na posição de controlador e encontra respaldo, ou seja, base legal, no artigo 7º, inciso II, que autoriza o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória. O tema chama ainda a atenção para outros pontos importantes.
O primeiro deles, sob o ponto de vista dos controladores, é que o tratamento dos dados pessoais neste contexto deverá ter como finalidade única e exclusiva o cumprimento da obrigação legal imposta pelo Marco Civil da Internet. O segundo ponto relevante é que, decorrido o período de um ano para os provedores de conexão e de seis meses para os provedores de aplicação, a finalidade do armazenamento destes dados pessoais é atingida. Logo, esses registros deverão ser eliminados. A manutenção do tratamento de tais dados pessoais, é possível, no entanto, caso exista outra base legal para tanto, diferente daquela obrigação imposta pelos artigos 13 ou 15 do Marco Civil da Internet.
Um terceiro ponto relevante, sob o ponto de vista da reparação de danos decorrentes de atos praticados na Internet, identificação dos agressores ou infratores, até mesmo para persecução penal, é o momento em que a vítima ou autoridade responsável decide tomar providências. Ultrapassados os períodos de seis meses ou de um ano, a ausência do dever de guarda dos registos de acesso ou conexão poderá, certamente, dificultar a identificação dos responsáveis. Por tal motivo, é preciso estar atento e agir o mais rápido possível, tanto para preservação de provas, quanto para que se possa identificar adequadamente os envolvidos, o que se faz de maneira mais precisa por meio do assessoramento jurídico especializado.
