Don't panic!

Não costumo entrar em política por aqui, nem mesmo muito fora daqui, mas o caso do marco civil da Internet pede um certo envolvimento.  Conforme os limites do digital e do real ficam menos tênues, é impossível não comentar de ambos, mesmo que isso envolva política, mulher, religião ou futebol, os pilares que sustentam a nossa sociedade.

Mas não vou comentar sobre os aspectos do marco civil.  Já existem muitos sites falando sobre o mesmo.  Claro que existem os que falam contra, como sempre, mas o melhor é se informar sobre o assunto.  Eu pessoalmente recomendo o post do Sakamoto:

Marco Civil: se disserem que a lei é para censurar e espionar, não acredite

Mas o que queria abordar aqui é uma outra parte do marco civil, em relação ao artigo 16, que fala da guarda de logs.  

O que me levou a escrever sobre isso foi um post do Paulo Rená sobre esse tema:

Snowden pede criptografia, mas art. 16 seria tiro pela culatra

A parte do artigo 16 do código civil, como até é comentado no artigo, diz:

O provedor de aplicações de Internet constituído na forma de pessoa jurídica, que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos,deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de seis meses, nos termos do regulamento.

E está feita a confusão.  Então vou tentar explicar de forma técnica, e não vou entrar no mérito do direito, pois nem tenho conhecimento pra tal. É apenas o que existe e o que isso significa, e o motivo de estar no marco civil.

Todo serviço que envolve bits, TODO, tem um serviço de registro, ou como chamamos, log.  TODO.  Quer dizer então que quando me conecto ao provedor e recebo um endereço IP, isso fica num log.  Quando envio um mail, isso fica num log.  Quando entro aqui no meu site, pra escrever esse post, isso fica num log.

Como exemplo, um registro de mails que tenho num servidor que ajudo a manter:

Os IPs são reais, assim como os domínios que se apresentam aqui (a maioria mails falsos de SPAM).  Ao contrário do que se comenta por aí, não existe uma monitoração do conteúdo.  Mas se eu tenho acesso ao servidor, eu posso muito bem olhar o conteúdo de tais mails, por mais que minha conexão seja criptografada com o mundo exterior.  Mas isso já é tema pra um outro post.

E servidor de web?  Sim, tem log.  E não muito diferente dos logs do servidor de mail.

Como se pode ver, não existe muita informação além de IP de origem, página que se tentou acessar, se deu certou ou não, e o tipo de navegador usado.  Esses dados são importantes pra se verificar páginas erradas, falhas em navegadores, e audiência.

E claro, ataques!  Foi esse um dos princípios pros quais os logs surgiram.  Quando se sofre um ataque, a primeira coisa que se procura, é nos logs.  Sempre.

E essa é a questão do marco civil  Até quando guardar esses logs?  Infinitamente?  6 meses?  2 anos? 5 anos? 10 anos?  Quem pode acessar?  Como?  Pode ser usado pra vender um produto e/ou serviço?

Então quando se fala das questões de logs, não é sobre o governo monitorar todos, mas sobre os registros que já existem, sobre como vamos lidar com eles.  E a menos que se opte for ferramentas para garantir sua privacidade como TOR, não existe conexão anônima.  Nunca.

E sim, eu violei o sigilos do meus logs.  Espero que os cidadãos afetados não me processem, pois foi pra fins didáticos.