Para especialistas, o decreto nº 8.771, que regulamentou o Marco Civil da Internet (MCI), trouxe acertos, mas também preocupa por não entregar tudo o que a Lei 12.965/2014 havia "prometido", como o procedimento a ser utilizado no tratamento dos dados pessoais. Na visão de representantes de universidades, entidades da sociedade civil e do Comitê Gestor da Internet (CGI.br) que participaram do segundo dia do Seminário de Privacidade e Dados Pessoais nesta quinta-feira, 25, há sobretudo um perigo de interpretações que levem a medidas mais extremadas, como nos recentes casos de bloqueios do WhatsApp no País.
O representante da Mackenzie, Renato Leite Monteiro, avalia que o decreto "incentiva o uso da criptografia para garantir a privacidade e proteção de dados e inviolabilidade da comunicação". Isso inclui o modelo ponta a ponta, que impede a própria empresa de ter acesso ao conteúdo – método utilizado, por exemplo, pelo WhatsApp, o que significaria que a empresa estaria atendendo à legislação. Ele explica que, se por um lado a empresa tem de fornecer dados mediante ordem judicial, isso é "limitado ao artigo 13, que é de segurança: você pode fornecer informações, mas uma das possíveis limitações seria o uso da criptografia".
Alexandre Pacheco, da FGV-SP, afirma haver frustração com a falta de definições. "Esperava que o decreto trouxesse procedimento de como as apurações seriam verificadas (em relação a infrações na operação de coleta e armazenamento de registro) e como lidaria no cerne dos debates na relação entre ferramentas de preservação à privacidade e segurança, como criptografia, mas não apenas ela", explica.
Pacheco cita a decisão do Tribunal de Justiça do Rio de Janeiro, que determinou o bloqueio do WhatsApp em julho, por ter consequências ainda mais sérias que a sanção do serviço, uma vez que "sugeriu a criação de backdoor" no método de segurança em decorrência da interpretação do Marco Civil. "A ausência de procedimento que proveria algumas modificações específicas para aplicações e sanções e fornecimentos de dados criaram o cenário de bloqueio, que acontece de maneira precoce e como principal instrumento de barganha para tentar induzir a empresa a cumprir a legislação brasileira, sendo que tenho dúvidas do que seria o cumprimento em relação à fragmentação da legislação", declara. "Ela (a juíza Daniela Barbosa Assumpção, da Vara de Execuções Penais de Duque de Caxias) quis criar um mecanismo embutido que permitiria o monitoramento contínuo, e esse detalhe não está em lugar nenhum na legislação ou no decreto."
Carlos Affonso Souza, do ITSRio, lembra que o decreto não foi feito às pressas, uma vez que foi editado após quatro consultas públicas – duas pelo Ministério da Justiça, uma pela Anatel (focando na neutralidade de rede) e outra pelo próprio Comitê Gestor da Internet (CGI.br). Na opinião dele, a interpretação de que o Marco Civil permitiria bloqueio de aplicações está errada – tanto que a decisão do ministro do STF Ricardo Lewandowski de suspender o bloqueio do WhatsApp em julho foi baseada na própria lei. Souza argumenta que o texto fala apenas de suspensão e proibição de atividades previstas no artigo 11, "e não do aplicativo como todo". "Ainda que se entenda a suspensão ou bloqueio do aplicativo, o poder do juiz deveria passar por teste de proporcionalidade, não é um poder absoluto", declara.
A conselheira do CGI.br e representante da associação de consumidores Proteste, Flávia Lefèvre, reagiu positivamente ao decreto, sobretudo porque "conferiu mais clareza" às próprias interpretações sobre neutralidade e proteção de dados. "Acho que o artigo 13 (do MCI) veio especificar mecanismos de segurança, destacando que incentiva a utilização de criptografia e outros mecanismos, e essa utilização não é só para atividade desenvolvida pela empresa", diz. Na opinião dela, a Lei deveria ser interpretada junto com dispositivos de fundamento e finalidade, nos quais proteção à privacidade e dados pessoais são pressupostos expressos. Ressalta, contudo, que empresas estariam usando a criptografia como justificativa para o não fornecimento de dados não encriptados, como metadados – opinião compartilhada por Alexandre Pacheco, da FGV-SP.