Na coluna de hoje, analisaremos a recente decisão de bloqueio da rede social LinkdIn na Rússia. No último dia 17 de novembro, a autoridade de proteção de dados da Rússia, Roskomnadzor, realizou a suspensão temporária do LindkIn em todo o país por força da violação da lei de proteção de dados. A medida foi implementada após a Corte de Apelação de Moscou ter concluído que o LinkdIn não armazenava os dados pessoais de cidadãos russos em servidores localizados no país e ainda processava dados de indivíduos que não eram usuários da rede e não tinham aderido aos seus termos de uso.
Esta foi a primeira vez que as sanções da lei de proteção de dados russa foram aplicadas desde que ela entrou em vigor em setembro de 2015. Além de impor que os dados dos seus cidadãos devem ser fisicamente armazenados em servidores situados no país, a legislação russa contempla uma espécie de “cláusula de jurisdição” na qual impõe a aplicação das suas disposições normativas a qualquer provedor que disponibilize seus serviços ao público russo, ainda que este não tenha representação (“filial”) no país. Dentre as sanções previstas está a suspensão temporária das atividades do provedor, o que pode resultar no bloqueio da aplicação.
A Roskomnadzor tentou por diversas ocasiões contatar o LinkdIn com o intuito de obter informações a respeito das suas práticas de armazenamento de dados pessoais, todavia não recebeu resposta, o que ensejou a imposição da sanção de suspensão temporária de seus serviços por três dias úteis. O LindkIn, por sua vez, informou que as informações deveriam ter sido solicitadas à sua sede na Irlanda, mediante os mecanismos de cooperação internacional. O caso deverá ser examinado em breve pela Suprema Corte da Rússia.
O episódio envolvendo as autoridades russas e o LinkdIn revela os (novos) nichos de atuação do poder estatal para encarar os desafios regulatórios do ciberespaço. Mais do que delimitar fronteiras e estabelecer parâmetros de aplicação da lei, os atores estatais tem atuado cada vez mais na arquitetura da rede, particularmente na sua camada de infraestrutura física e lógica mediante a realização de bloqueios.
A separação entre camadas física e virtual também parece ser um fenômeno em diluição. Se por um lado alguns ordenamentos jurídicos mundo afora impõe o armazenamento de dados de seus cidadãos em seu território, por outro a ausência de uma filial em um determinado país não tem impedido a sua submissão à legislação nacional. Apesar do Marco Civil da Internet não ter internalizado – mesmo após acirrado debate – a obrigação de data centers serem alocados em território nacionali, o seu art.11, caput e §§1.º e 2.º promovem uma imbricação entre parâmetros do mundo offline e online ao definir os critérios de aplicação da legislação brasileira, tal como faz a mencionada cláusula de jurisdição russa.
A decisão da autoridade de proteção de dados russa criou um alerta mundial com repercussão semelhante aos bloqueios realizados no Brasil. A queda de braço entre os atores reguladores e regulados está apenas no início, mas, ao menos, uma reflexão já se mostra clara: até que ponto o alargamento da jurisdição dos países ricocheteará nos players globais e, em última análise, detêm o potencial de fragmentar o alcance transfronteiriço da internet.
Se em ambos os países os bloqueios se tornaram uma medida rotineira e questionável, pelo menos na Rússia eles não tem sido objeto de casuísticas decisões judiciais como no Brasil. Lá ao menos existe um ambiente normativo definido para a proteção de dados pessoais, o que permite contestar formalmente e sob o prisma do devido processo legal a requisição do acesso aos dados dos seus cidadãos por parte de autoridades públicas.
Enquanto isso, o Brasil ainda engatinha para definir o marco regulatório do tema. No Congresso Nacional três projetos de lei sobre o tema estão em discussão. Ao menos um deles, o PL 5276/16, debatido amplamente com a sociedade brasileira, merece destaque por prestigiar a necessária simetria regulatória entre setor privado e público, por resguardar a aplicação principiológica da lei ao tratamento de dados pessoais para fins de segurança pública, defesa nacional, atividades de investigação e repressão de infração penais.
De fato, o Brasil tem ficado para trás no cenário mundial de regulação da proteção de dados pessoais, criando um panorama de proteção deficiente de direitos e simultâneo desestímulo do ambiente de inovação tecnológica e empreendedorismo. E o quadro fatalmente se agravará na medida em que países latino americanos vizinhos ao Brasil como Chile, Equador, Uruguai e Argentina estão realizando reformas em suas legislações de dados pessoais.
*Thiago Sombra – Advogado, Coordenador do LAPIN-Laboratório de Pesquisa Direito Privado e Internet, Professor de Universidade de Brasília-UnB, Pesquisador Visitante da London School of Economics-LSE
**Bruno R. Bioni – Advogado do Núcleo de Informação e Coordenação do Ponto BR/NIC.br e pesquisador do Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação/GPoPAI da Universidade de São Paulo/USP
i Mesmo não havendo norma que imponha o armazenamento dos dados de cidadãos brasileiros no país, o Ministério do Planejamento tem editado uma série de orientações para a contratação de nuvens (cloud computing) pelos órgãos públicos, no qual aponta que somente devem ser contratadas nuvens que armazenem dados e informações no Brasil. Cf. o Manual de Boas Práticas, Orientações e Vedações para a Contratação de Nuvens. No acórdão 1739/2015, Processo 025.994/2014-0, Rel. Min. Benjamin Zymler, o TCU também analisou os riscos da contratação de nuvens pelos órgãos da Administração Pública. Por fim, sobre o tema ainda é essencial para a compreensão do tema as diretrizes da Instrução Normativa do Gabinete de Segurança Institucional da Presidência da República sobre computação em nuvem.
Assuntos
Compartilhe