A intimidade e a vida privada são reconhecidas como direitos fundamentais pela nossa Constituição Federal, que assegura aos indivíduos indenização moral ou material na hipótese de sua violação. Há também previsões esparsas sobre o tema, em particular com relação à proteção de dados pessoais, no Código de Defesa do Consumidor e na Lei do Habeas Data. No entanto, o País não conta com um documento único que trate do tema de forma abrangente e ordenada.

Um marco próprio e unificado para a proteção de dados pessoais existe, por exemplo, no âmbito da União Européia, que editou diretivas tanto para a proteção das pessoas com relação ao tratamento de seus dados pessoais (1995), quanto para o tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrônicas (2002).

Outro direito fundamental reconhecido na Constituição Federal é o da inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e telefônicas. A própria Constituição faz ressalva a este direito, resguardando a possibilidade de não aplicação dessa proteção apenas por força de ordem judicial, para investigação criminal e instrução processual, e nos casos e na forma que a lei permitir. Destaca-se, assim, que cabe ao Poder Judiciário arbitrar a questão, a partir de balizas pré-definidas, quando houver conflito entre pretensões de garantia do direito à privacidade e ao sigilo, por um lado, e a investigação policial e a segurança pública, por outro.

A guarda de logs – ou retenção de dados pessoais – pelos provedores de acesso à internet e provedores de conteúdo ou serviços – é um dos pontos mais polêmicos desta discussão. E a União Européia também conta com diretiva específica, datada de 2006. Independentemente de seu conteúdo, é importante perceber que a diretiva apenas foi editada após a consolidação de uma regulamentação sobre o tratamento de dados pessoais (inclusive em forma eletrônica), que estabeleceu limites claros à proteção deste direito fundamental.

Em caso de regulamentação que permita a guarda de logs, faz-se necessário determinar claramente os casos em que tal registro seria permitido, as condições para sua implementação – tanto de tempo quanto de escopo dos dados registrados -, as condições de segurança para sua guarda, os casos em que se permitida a requisição, obrigatoriamente por ordem judicial, para sua obtenção e as punições para a violação ao sigilo intrínseco de tais dados.

A especificação de um formato para os logs, discriminando precisamente quais os dados relevantes – por exemplo, endereço IP, data de conexão etc -, também se mostra indispensável para assegurar a privacidade dos usuários, bem como a regularidade de armazenamento e comunicação dos dados. Além da indicação pormenorizada do que deveria constar de eventuais logs arquivados, é fundamental também uma definição negativa – ou seja, o que em hipótese alguma poderia constar como dados coletados.

É importante distinguir a guarda de informações pessoais, na forma de logs, do monitoramento constante do tráfego de dados pessoais de um usuário, o que demanda condições ainda mais rígidas e excepcionais para sua concessão e execução.

Uma regulamentação do ambiente digital deve levar em conta um regime sistematizado e transversal de proteção à privacidade, à vida privada, ao sigilo das comunicações e aos dados pessoais. Ainda que, para o mundo offline, esse contexto amplo ainda não esteja expresso em uma norma específica, a construção do marco civil da internet deve considerar a existência desses contornos gerais e, nesse panorama, assumir-se como um avanço na regulamentação da tutela dos dados pessoais, para a concretização legislativa de direitos fundamentais. Este é um dos objetivos do presente debate.