O advento da Lei nº 12.965/2014, o Marco Civil da Internet (MCI), representou um feito indelével na regulamentação do uso da rede mundial de computadores no Brasil. Conhecido como a “Constituição da Internet”, o diploma consagrou a proteção da privacidade e da liberdade de expressão como pilares fundamentais, trazendo avanços significativos.
Com a promulgação da referida lei, diversas discussões surgiram, principalmente com a adoção do sistema do judicial notice and take down (notificação judicial) como regra pelo artigo 19 [1]. Esse dispositivo menciona que o provedor de aplicações de internet somente seria responsabilizado civilmente por danos advindos de conteúdo gerado por terceiros após deixar de cumprir em tempo hábil ordem judicial específica determinando sua retirada. Esse comando contrariou anterior posicionamento jurisprudencial de que essa notificação poderia ser extrajudicial (notice and take down). A criação desse mecanismo de litigiosidade foi duramente criticada por parte doutrina, que chegou a taxá-lo de inconstitucional [2].
Tal discussão chegou ao Supremo Tribunal Federal, que editou os Temas 533 e 987, declarando a inconstitucionalidade parcial do artigo 19 da Lei nº 12.965/2014 e ampliou o modelo do artigo 21 [3], que prevê a notificação extrajudicial (notice and take down) para responsabilização dos provedores para eventuais crimes e atos ilícitos em geral, inclusive para casos de contas inautênticas ou falsas.
Entretanto, mesmo com esse julgamento no âmbito do Supremo Tribunal Federal, não houve o enfrentamento de outro ponto fundamental da Lei nº 12.965/2014, qual seja o da disciplina dos prazos para a guarda de registros de conexão (artigo 13) [4] e de acesso a aplicações de internet (artigo 15) [5]. A análise dos Temas 533 e 987, ao evidenciar a complexidade do regime de responsabilidade dos provedores, apenas reforçou a necessidade de um exame mais aprofundado dessa temática.
A controvérsia
O presente texto se debruça sobre a aparente incoerência legislativa que acomete os artigos 13 e 15 da Lei nº 12.965/2014. O legislador fixou os prazos de um ano e seis meses, respectivamente, estabelecidos para a retenção de dados por provedores de conexão [6] e de aplicações de internet [7], o que gera insegurança jurídica se analisados em conjunto com os prazos prescricionais previstos no Código Civil e no Código de Defesa do Consumidor.
Essa incongruência não apenas desampara o usuário em situações de ilicitude, mas também impõe aos provedores um dilema prático e oneroso.
Antes da promulgação do Marco Civil da Internet, o cenário jurídico sobre a guarda de registros de conexão e de aplicações de internet era caracterizado por um vácuo regulatório. Não existia uma norma específica que definisse o prazo de retenção ou as condições de armazenamento dos dados, como o endereço IP, a data e a hora de uma conexão etc. Essa ausência de diretriz legal gerava incerteza e dificultava a investigação e a responsabilização por ilícitos praticados na internet.
Em resposta a essa lacuna, o Comitê Gestor da Internet no Brasil (CGI.br), em consulta pública anterior ao Marco Civil da Internet, recomendou que os provedores de conexão à internet mantivessem os dados por um prazo mínimo de três anos [8]. Essa sugestão foi fundamentada no artigo 206, §3º, V, do Código Civil de 2002, que estabelece um prazo prescricional de três anos para a pretensão de reparação civil [9]. A recomendação visava alinhar a guarda de dados com o período durante o qual uma vítima de ilícito cibernético poderia buscar judicialmente a reparação de seus danos.
Ademais, falou-se em prazo mínimo, pois, à luz do Código de Defesa do Consumidor, tem-se o prazo de cinco anos de pretensão à reparação por danos causados por fato do produto ou serviço (artigo 27, Código de Defesa do Consumidor) [10].
Com o advento do Marco Civil da Internet, esperava-se que a legislação ratificasse essa orientação. Contudo, o que se viu foi uma significativa alteração. O legislador, no artigo 13 da lei, estipulou que o provedor de conexão deve manter os registros, sob sigilo e em ambiente seguro, pelo prazo de um ano. Embora a lei tenha trazido clareza sobre o ambiente de guarda e a vedação de transferência dessa responsabilidade a terceiros, o prazo em si se mostrou controversa.
A discussão sobre a guarda de registros de acesso não se restringe aos provedores de conexão. Para os provedores de aplicações de internet (plataformas de redes sociais, e-commerce, serviços de e-mail etc.), a questão é igualmente crítica. A responsabilização e a identificação de autores de ilícitos na internet dependem diretamente da preservação dos registros eletrônicos.
Antes do Marco Civil da Internet, o Superior Tribunal de Justiça [11] já havia se debruçado sobre o tema, consolidando a orientação de que os provedores de conteúdo deveriam armazenar esses registros por três anos, alinhando-se ao prazo prescricional para ações de reparação civil do artigo 206, §3º, V do Código Civil. Tal jurisprudência visava garantir que, caso um ilícito ocorresse dentro desse prazo prescricional, a vítima ainda teria a possibilidade de identificar o autor e buscar a devida reparação.
No entanto, o legislador também não seguiu esse entendimento jurisprudencial no Marco Civil da Internet, e no artigo 15 determinou que os provedores de aplicações de internet devem preservar os registros de acesso a aplicações de internet por um prazo de apenas seis meses. Essa decisão legislativa pode prejudicar tanto o usuário quanto o próprio provedor de aplicações de internet. A regra também traz uma peculiaridade: a obrigação se aplica apenas a pessoas jurídicas que atuam de forma organizada, profissionalmente e com fins econômicos, podendo abrir brechas para ilícitos cibernéticos quando forem utilizadas aplicações de internet sem fins econômicos ou criadas por particulares.
A divergência entre os prazos legais de um ano para os provedores de conexão e seis meses para os provedores de aplicações de internet e os prazos prescricionais do Código Civil e do Código de Defesa do Consumidor não é meramente teórica; ela se manifesta em sérios problemas práticos.
Hipótese
A título de exemplo, cita-se uma situação hipotética de cyberbullying. Uma pessoa é vítima de conteúdo ofensivo e humilhante em uma rede social, o que lhe gerou diversos problemas, com danos que exigiram o acompanhamento por psicólogos e médicos para tratar o seu trauma por um longo período. A recuperação e a decisão de buscar reparação judicial pode levar mais de seis meses.
Quando a vítima, já recuperada dos fatos, decide processar os autores do ilícito civilmente para ser reparada pelos danos ocasionados, os registros, que seriam a principal prova para a identificação, poderiam ter sido descartados pelo provedor de aplicação, que teria agido em conformidade com o Marco Civil da Internet. O problema se acentua com a possibilidade de inversão do ônus da prova, tanto pelo Código de Defesa do Consumidor (artigo 6º, VIII) [12] quanto pelo Código de Processo Civil (artigo 373, §1º). O provedor de aplicação, que legalmente descartou os dados após seis meses, não terá como se defender ou comprovar que o ilícito não ocorreu em sua plataforma.
O usuário, por sua vez, será prejudicado pela ausência de provas e de capacidade técnica na maioria das vezes para demonstrar, por exemplo, todos os URLs que contenham conteúdos ilícitos, mesmo tendo um prazo legal de três anos (Código Civil) ou cinco anos (Código de Defesa do Consumidor) para buscar a reparação. O caso dos provedores de aplicações de internet é emblemático, pois a lei não apenas se opõe aos diplomas legais mais protetivos, mas também ignora entendimento que já apontava para um caminho baseado na legislação pátria vigente. A opção legislativa pelo prazo de seis meses para armazenamento de dados pelos provedores de aplicações de internet aparenta ter sido realizada sem a devida ponderação das consequências práticas e dos princípios da segurança jurídica e da proteção ao consumidor.
De fato, o Marco Civil da Internet, em sua essência, é uma legislação robusta e visionária, mas a discrepância nos prazos de guarda de dados pode comprometer sua eficácia e sua harmonia com o restante do ordenamento jurídico brasileiro. As normas dos artigos 13 e 15, ao estabelecerem prazos de um ano e seis meses, respectivamente, criam um dilema insolúvel: o usuário tem o direito de buscar reparação por danos por um período mais longo, mas o meio de prova essencial para essa pretensão pode ser legalmente descartado antes do fim do prazo prescricional.
Essa situação gera um conflito de normas que pode ser interpretado como inconstitucional, uma vez que o direito à reparação civil e a proteção ao consumidor são garantias fundamentais. O princípio da proporcionalidade sugere que a lei deve garantir os meios para o exercício de um direito, e não o contrário. A segurança jurídica buscada ao fixar prazos fixos para armazenamento de dados é prejudicada quando confrontada com as realidades práticas e os princípios da equidade e da justiça.
Nem mesmo o julgamento dos Temas 987 e 533 pelo Supremo Tribunal Federal solucionaram essa questão. É imperativo que os prazos de guarda de dados sejam revisados e alinhados, no mínimo, com o prazo prescricional de três anos para a reparação civil do Código Civil, conforme já defendido pelo CGI.br e pelo STJ em momentos anteriores à promulgação do Marco Civil da Internet. Tal medida não apenas conferiria maior previsibilidade e segurança jurídica para todos os agentes envolvidos – usuários, provedores e o próprio Poder Judiciário –, mas também reforçaria o compromisso do Marco Civil da Internet em ser, de fato, um instrumento de proteção e garantia de direitos na era digital.
[1] Art. 19, Lei nº 12.965/14. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. (…)
[2] Para aprofundar, recomenda-se a leitura: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores de internet: análise teórica, prática e jurisprudencial anterior e posterior ao Marco Civil da Internet (Lei n. 12.965/14). 1. ed. Londrina: Editora Thoth, 2024.
[3] Art. 21, Lei nº 12.965/14. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. (…)
[4] Art. 13, Lei nº 12.965/14. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. (…)
[5] Art. 15, Lei nº 12.965/14. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
[6] “(…) pode-se definir o provedor de conexão como a pessoa jurídica que habilita um terminal para o envio e recebimento de pacotes de dados pela internet pelos seus usuários mediante a atribuição ou autenticação de um endereço IP, exercendo uma função intermediária entre o usuário e a internet, possibilitando o acesso deste a outros serviços conforme o seu interesse e necessidade”. In: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores de internet: análise teórica, prática e jurisprudencial anterior e posterior ao Marco Civil da Internet (Lei n. 12.965/14). 1. ed. Londrina: Editora Thoth, 2024, p. 61.
[7] “(…) o provedor de aplicação de internet pode ser definido como qualquer pessoa jurídica que, através de um terminal conectado à internet, fornece um conjunto de funcionalidades que podem ser acessadas pelos usuários”. In: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores de internet: análise teórica, prática e jurisprudencial anterior e posterior ao Marco Civil da Internet (Lei n. 12.965/14). 1. ed. Londrina: Editora Thoth, 2024, p. 70.
[8] COMITÊ GESTOR DA INTERNET NO BRASIL – CGI.br. Recomendações para o desenvolvimento e operação da internet no Brasil. 1999. Disponível em: <http://www.cgi.br/recomendacoes-para-o-desenvolvimento-e-operacao-da-internet-no-brasil/>. Acesso em: 25/08/2025.
[9] Art. 206, Código Civil. Prescreve:
(…)
- 3o Em três anos:
(…)
V – a pretensão de reparação civil;
[10] Art. 27, Código de Defesa do Consumidor. Prescreve em cinco anos a pretensão à reparação pelos danos causados por fato do produto ou do serviço prevista na Seção II deste Capítulo, iniciando-se a contagem do prazo a partir do conhecimento do dano e de sua autoria.
[11] Brasil, STJ, REsp 1.398.985/MG, Rel. Ministra Nancy Andrighi, Órgão Julgador: 3ª Turma, julgado em 19/11/2013.
[12] Art. 6º, Código de Defesa do Consumidor. São direitos básicos do consumidor:
(…)
VIII – a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias de experiências;
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login