Leis e regulamentos que regem a Ciber-segurança

A norma jurídica básica que caracteriza as actividades dos ISP na República Checa é a Lei n.º 480/2004 Coll., sobre certos serviços da sociedade da informação[1] . Esta lei é uma implementação da Directiva (UE) 2015/1535 do Parlamento Europeu e do Conselho de 9 de Setembro de 2015 que estabelece um procedimento para a prestação de informações no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação.[2]

A Lei checa sobre certos serviços da sociedade da informação reconhece os seguintes três prestadores de serviços, estipulando que um prestador de serviços é qualquer pessoa singular ou colectiva que preste qualquer um dos serviços da sociedade da informação: [3]

1.     Prestadores de serviços baseados na transmissão de informações fornecidas por um utilizador (Mere Conduit ou Access Provider).

2.     Prestadores de serviços baseados no armazenamento automático intermédio de informações fornecidas por um utilizador (o chamado caching).

3.     Prestadores de serviços baseados no armazenamento de informação fornecida por um utilizador (o chamado armazenamento ou hosting).

Nenhuma pessoa é excluída da definição acima. (Não tem de ser, por exemplo, uma pessoa a fazer negócios ao abrigo de outro regulamento legal). No entanto, se outros regulamentos especiais se aplicarem a um fornecedor (ver, por exemplo, um dos fornecedores de ligação), estes devem também segui-los.

Em termos gráficos, é possível mostrar os fornecedores listados (e a vinculação por regulamentos legais individuais) da seguinte forma:

Um destinatário de um serviço da sociedade da informação é um utilizador que pode ser qualquer pessoa singular ou colectiva que utilize o serviço da sociedade da informação, nomeadamente com o objectivo de procurar informação ou torná-la acessível.[4]

De acordo com a Lei sobre Certos Serviços da Sociedade da Informação, serviço da sociedade da informação significa "qualquer serviço prestado por via electrónica a pedido individual de um utilizador apresentado por via electrónica, normalmente prestado mediante remuneração. Um serviço será fornecido por meios electrónicos se for enviado através de uma rede de comunicação electrónica e recolhido pelo utilizador a partir de equipamento electrónico para armazenamento de dados" [5]

A definição dada na legislação checa baseia-se então directamente na Directiva (UE) 2015/1535 do Parlamento Europeu e do Conselho [Artigo 1(b)], que estabelece que um serviço é "qualquer serviço da sociedade da informação, isto é, qualquer serviço prestado normalmente mediante remuneração, à distância, por via electrónica e a pedido individual de um destinatário de serviços".

Desta definição decorrem quatro características básicas de um serviço:

-       é fornecido por meios electrónicos,

-       é fornecido a pedido individual de um utilizador,

-       é normalmente fornecido para remuneração,

-       é fornecido remotamente (à distância).

O conceito de prestação por via electrónica está estabelecido na Directiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, no artigo 1 (b) (ii), onde é definido como um serviço que é enviado inicialmente e recebido no seu destino através de equipamento electrónico para o processamento (incluindo a compressão digital) e armazenamento de dados. Este serviço é inteiramente transmitido, transportado e recebido por fio, rádio, meios ópticos ou outros meios electromagnéticos. O regulamento checo utiliza uma lista demonstrativa que afirma que se trata principalmente de uma rede de canais electrónicos, equipamento de comunicação electrónica, sistemas automáticos de chamada e comunicação, equipamento terminal de telecomunicações e correio electrónico. [6]

Um pedido individual de utilizador significa que deve ser uma actividade activa de um utilizador. Husovec declara que diz respeito a casos em que, por exemplo, um utilizador introduz um endereço no campo do navegador (IE, Firefox, Chrome, etc.), formulando assim um pedido para abrir a página relevante, ou escreve uma mensagem SMS. De acordo com Husovec, um exemplo típico de um serviço que é fornecido sem um pedido individual é, por exemplo, a transmissão televisiva.[7] 

O critério mais problemático para definir um serviço da sociedade da informação é o facto de ser prestado um serviço mediante remuneração. O regulamento checo também copia o regulamento internacional sobre este ponto e contém uma disposição "normalmente em troca de remuneração". No ambiente da Internet ou de outras redes informáticas, há uma série de serviços que são prestados "gratuitamente". A Husovec argumenta com toda a razão que, sob o termo remuneração, é possível imaginar uma série de factos diferentes do desempenho puramente monetário.[8] Pode tratar-se de um desempenho que assumirá a forma de não-monetário, em que um ISP obtém informações sobre os utilizadores sob a forma de dados pessoais, técnicos e outros, tempo gasto na utilização do serviço, oferece uma publicidade do utilizador para outros produtos, etc. Contudo, mesmo esta condição deve ser interpretada de forma mais extensiva, de acordo com Husovec, o que significa que é realizada uma actividade potencialmente económica.[9]

Devido ao facto de o termo remuneração poder significar possibilidades realmente diferentes (por exemplo, um agradecimento, visita a um sítio ou link, pagamento financeiro ou outro) e devido à redacção da Lei sobre certos serviços da sociedade da informação (ver "normalmente para remuneração"), pode-se concluir que as actividades de um prestador de serviços da sociedade da informação também podem ser fornecidas gratuitamente.

O termo à distância é definido pela Directiva (UE) 2015/1535 do Parlamento Europeu e do Conselho como um serviço que é prestado sem que as partes estejam simultaneamente presentes.[10]

Na sua monografia, Husovec dá também exemplos que demonstram o que pode ser considerado um serviço da sociedade da informação. De acordo com a Directiva 2000/31/CE do Parlamento Europeu e do Conselho, uma série de actividades que têm lugar no mundo em linha devem ser incluídas neste conceito. Podem ser vendas em linha de bens, serviços que fornecem informação em linha, comunicação comercial, ou serviços que fornecem ferramentas de pesquisa, acesso e recuperação de dados, serviços que fornecem transmissão de informação através de uma rede de comunicação, etc.

"O poder judicial do Tribunal de Justiça da UE já reconheceu directa ou indirectamente, por exemplo, o serviço AdWords (serviço de publicidade no motor de busca Google)[11] , serviços de seguro automóvel através da Internet[12] , vendas on-line de lentes de contacto[13] , ligação à Internet[14] , reservas de hotel através de e-mail[15] , serviços de agências de viagens através de e-mail[16] , servidor de leilões eBay[17] e pesquisa tradicional no Google". [18]

3.1.1 Prestadores de serviços baseados na transmissão de informações fornecidas por um utilizador (Mere Conduit ou Access Provider)

Do ponto de vista da lei sobre certos serviços da sociedade da informação, tal fornecedor pode ser qualquer pessoa singular ou colectiva capaz de fornecer a outras entidades (pessoas singulares ou colectivas) o serviço de transmissão de informação (fornecida pelos utilizadores) através de redes de comunicações electrónicas ou organizando o acesso a redes de comunicações electrónicas para efeitos de transmissão de informação.

Tal fornecedor não será apenas uma pessoa que faz negócios no domínio da ligação de outros a redes informáticas ou à Internet (normalmente serão pessoas registadas no Registo de Empresários em Comunicações Electrónicas sob a autorização geral)[19] , mas será qualquer pessoa que forneça ou medique a transmissão de informações através de redes de comunicações electrónicas. É portanto possível imaginar uma situação em que um fornecedor de ligação de acordo com esta lei será uma pessoa que estabelece e disponibiliza a terceiros, por exemplo, ligação Wi-Fi dentro de um restaurante, edifício de apartamentos, casa, etc. Esta categoria incluirá também, por exemplo, escolas (tipicamente universidades que fornecem aos seus estudantes e professores conectividade dentro da sua rede ou à Internet). Contudo, os serviços baseados na transferência de informação incluem também, por exemplo, a aplicação Skype, ICQ, etc. Podemos muito simplesmente descrever estes fornecedores como fornecedores de ligação.

Contudo, a fim de definir os direitos e obrigações individuais dos fornecedores de ligação, estes fornecedores precisam de ser divididos em dois grupos, públicos e não públicos. Ambos os grupos de fornecedores de ligação são abrangidos pela Lei sobre certos serviços da sociedade da informação, mas os fornecedores de ligação pública são também abrangidos pela Lei das Comunicações Electrónicas, que estabelece outros direitos e obrigações para estes fornecedores. O Registo de Empresários de Comunicações Electrónicas acima mencionado, de acordo com a autorização geral administrada pelo Gabinete Checo de Telecomunicações, ajudará a determinar se o fornecedor está incluído em que grupo.

3.1.1.1 Direitos e obrigações do prestador de serviços com base na transmissão de informações fornecidas por um utilizador de acordo com ACISS

A Lei sobre Certos Serviços da Sociedade da Informação no caso de um fornecedor de ligação limita tanto quanto possível a responsabilidade desta entidade pela informação transmitida. No entanto, são estabelecidos requisitos e condições especiais para os operadores de serviços de comunicações electrónicas. Estas condições estão estabelecidas na Lei das Comunicações Electrónicas. As disposições do artigo 12º da Directiva 2000/31/CE permitem que os Estados-membros ordenem a um fornecedor que suspenda a prestação de serviços através dos quais as informações são transmitidas quando os referidos serviços interferem indevidamente com os direitos de outro. Esta opção é um meio de evitar infracções. A ordem de suspensão da prestação de serviços é normalmente emitida por um tribunal.

Um fornecedor de ligação só pode ser responsabilizado pelo conteúdo da informação se:

• inicia uma tal transmissão,
• selecciona o utilizador da informação transmitida, ou
• selecciona ou altera o conteúdo da informação transmitida. [20]

Nos termos da Secção 6 do ACISS, um fornecedor de ligação não é obrigado a supervisionar o conteúdo da informação transmitida ou a verificar activamente a ilegalidade da informação transmitida. Um fornecedor não pode ser considerado responsável pela qualidade da informação (que não lhe pode ser atribuída), mesmo que esteja consciente da ilegalidade da informação transmitida.^[21]

3.1.1.2 Direitos e obrigações do prestador de serviços com base na transmissão de informações fornecidas por um utilizador de acordo com a Lei n.º 127/2005 Coll.

Os fornecedores de ligações públicas são também regidos pela Lei n.º 127/2005 Coll., sobre Comunicações Electrónicas[22] . Esta lei define alguns termos que utiliza posteriormente. Para os fins desta monografia, estes são em particular:

• Serviço de comunicações electrónicas [Secção 2 (n) da ECA[23] ]. De acordo com a Secção 2 (n) da ECA, este termo significa um serviço que é normalmente prestado mediante remuneração e baseia-se (total ou principalmente) na transmissão de sinais através de redes de comunicações electrónicas. Este serviço não inclui serviços que ofereçam conteúdos através de redes e serviços de comunicações electrónicas ou que exerçam supervisão editorial sobre conteúdos transmitidos por redes e fornecidos por serviços de comunicações electrónicas. Além disso, este serviço não inclui serviços da sociedade da informação que não se baseiem total ou principalmente na transmissão de sinais através de redes de comunicações electrónicas.
• Serviço de comunicações electrónicas publicamente disponível [Secção 2 (o) da ECA].  Este serviço é um serviço de comunicações electrónicas que ninguém está excluído de utilizar previamente.

A não exclusão significa a possibilidade de celebrar um contrato com uma entidade empresarial que preste um serviço de comunicações electrónicas publicamente disponível.  É importante que este serviço esteja aberto a um vasto leque de pessoas, nenhuma das quais está excluída de antemão. O contrário de um tal serviço pode ser, por exemplo, a adesão a várias associações, câmaras, ou, por exemplo, o estatuto de aluno de uma escola.

• Uma entidade empresarial que fornece ou está autorizada a fornecer uma rede pública de comunicações ou recursos conexos é referida por este acto como um operador [Secção 2 (e) da ECA].
• Assinante [Secção 2 (a) da ECA] é qualquer pessoa que celebrou um contrato para o fornecimento de tal serviço com uma entidade empresarial que forneça serviços de comunicações electrónicas publicamente disponíveis. Utilizador [Secção 2 letra n) ZoEK] é qualquer pessoa que utilize ou solicite um serviço de comunicações electrónicas publicamente disponível.

A Lei das Comunicações Electrónicas introduziu, com base na Directiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de Março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações e que altera a Directiva 2002/58/CE[24] , a obrigação de conservar preventivamente os dados de tráfego e de localização[25] sobre comunicações electrónicas. Esta obrigação aplica-se apenas a uma entidade empresarial que forneça ou esteja autorizada a fornecer uma rede pública de comunicações ou recursos conexos.

O objectivo da directiva relativa à conservação de dados era harmonizar as regras dos Estados-Membros sobre a obrigação dos fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações de conservarem os dados de tráfego e de localização, para que estes possam ser fornecidos às autoridades competentes dos Estados-Membros para prevenção, investigação, detecção e repressão de crimes graves, como o terrorismo e a criminalidade organizada.

O âmbito da directiva foi definido na área dos dados de tráfego e localização sobre pessoas singulares e colectivas e sobre os dados conexos necessários para identificar o assinante ou o utilizador registado.

Esta directiva não se aplicava ao conteúdo das comunicações electrónicas nem às informações necessárias quando se utilizava uma rede de comunicações electrónicas.

Nos termos da directiva, os Estados-membros eram obrigados a assegurar que os dados de telecomunicações fossem retidos durante um mínimo de seis meses e um máximo de dois anos a partir da data da comunicação. A directiva foi transposta sob diversas formas para os sistemas jurídicos dos Estados-Membros da UE. No entanto, desde o seu início, houve conflitos de opinião sobre a directiva enquanto tal. Os opositores argumentaram que a directiva interfere de forma desproporcionada com os direitos humanos e liberdades fundamentais, em particular ao exigir essencialmente a recolha generalizada de informações sobre os utilizadores individuais. Foi ainda argumentado que a directiva (numa forma tão geral) não seria capaz de passar no teste de proporcionalidade.

O teste de proporcionalidade é um instrumento jurídico padrão tanto dos tribunais internacionais como dos tribunais constitucionais (nacionais) ao avaliar o conflito de disposições da ordem jurídica que procuram proteger um direito ou interesse público constitucionalmente garantido com outro direito ou liberdade fundamental. O teste de proporcionalidade inclui três critérios para avaliar a admissibilidade de uma intervenção:

1. O princípio da adequação (adequação ao fim a que se destina), segundo o qual a medida em questão deve ser capaz de atingir o objectivo pretendido em geral, que é a protecção de outro direito fundamental ou bem público.

2. O princípio da necessidade, que estipula a utilização apenas dos meios mais amigos do ambiente para atingir o objectivo desejado (interferência nos direitos e liberdades fundamentais) a partir de vários meios possíveis.
3. O princípio da proporcionalidade (no sentido mais restrito), que procura evitar danos a um direito fundamental desproporcionados em relação ao objectivo pretendido, ou seja, as medidas restritivas dos direitos e liberdades fundamentais não devem, em caso de conflito entre um direito ou liberdade fundamental e o interesse público, exceder, pelas suas consequências negativas, os aspectos positivos do interesse público nestas medidas.

A Directiva de Retenção de Dados e a sua transposição nacional tornaram-se objecto de processos constitucionais em alguns países da UE. As decisões, especialmente dos tribunais constitucionais da Roménia (2009), Alemanha (2010) e República Checa (2011), devem ser mencionadas entre as mais cruciais. Irei concentrar-me nas decisões dos tribunais na Alemanha e na República Checa.

O Tribunal Constitucional Federal da Alemanha resolveu um conflito entre liberdade e segurança (com base na Directiva de Conservação de Dados) e decidiu a favor da liberdade individual. A 2 de Março de 2010, o tribunal decidiu que a retenção em massa de dados sobre telefone e transmissão de dados era inconstitucional na Alemanha.

O tribunal respondeu a uma queixa em massa de 35.000 cidadãos que pediam a revogação de uma lei de 2008 que ordenava às empresas de telecomunicações que arquivassem registos de chamadas telefónicas e comunicações por correio electrónico durante seis meses para fins de investigação. O Tribunal Constitucional Federal revogou os regulamentos contestados com o fundamento de que eram inconstitucionais. Declarou ainda que a obrigação de conservar os dados na medida especificada não é totalmente inconstitucional desde o início, mas não existe um regulamento legal que corresponda ao princípio da proporcionalidade. De acordo com o tribunal, os regulamentos contestados não estavam em conformidade com os requisitos constitucionais de segurança de dados, a finalidade da utilização dos dados (e a transparência da utilização dos dados) não estava claramente definida, e a protecção legal não estava suficientemente assegurada.

O tribunal declarou que "o exercício dos direitos e liberdades fundamentais dos cidadãos (aqui o sigilo das mensagens transmitidas por meios de comunicação electrónicos) não deve ser completamente controlado, documentado e registado pelo Estado; isto pertence à identidade jurídica constitucional da República Federal da Alemanha, em cuja preservação a república se deve situar a nível europeu e internacional".[26]

Na República Checa, a Directiva de Retenção de Dados foi implementada antes da sua entrada em vigor na UE. (Na UE, foi implementada a 15 de Março de 2007, com um requisito de transposição até 15 de Setembro de 2007. Na República Checa, foi implementada na Secção 97/3 da ECA, com efeitos a partir de 1 de Maio de 2005). Foi também apresentada uma queixa constitucional na República Checa, especificamente pela associação Iuricum Remedium, que foi apoiada por um grupo de 51 deputados. Esta queixa foi apresentada ao Tribunal Constitucional em Março de 2010. Em 2011, o Tribunal Constitucional decidiu e deferiu integralmente a petição de anulação total das passagens relevantes da Lei das Comunicações Electrónicas (especificamente a Secção 97 (3) e (4) e o Decreto de Execução n.º 485/2005 Coll., sobre a Extensão dos Dados de Tráfego e Localização e a revogação das disposições do Código de Processo Penal.[27] O Tribunal declarou o seguinte: "O Tribunal Constitucional considerou que a legislação contestada viola os limites constitucionais porque não satisfaz os requisitos do Estado de direito e viola os requisitos de restrição do direito fundamental à privacidade, sob a forma do direito à autodeterminação informativa na acepção do art. 10 (3) e do art. 13 da Carta, que decorrem do princípio da proporcionalidade".

Os legisladores da República Checa responderam às objecções do Tribunal Constitucional da República Checa, e foi adoptada nova legislação que continua a permitir a conservação generalizada de dados de tráfego e localização na República Checa, uma vez que respeita o teste de proporcionalidade acima mencionado, em particular declarando claramente a gama de entidades (autorizadas a solicitar dados de tráfego e localização) e a finalidade para a qual os dados podem ser solicitados.

Ao mesmo tempo, foram tomadas medidas ordenando às entidades empresariais que adoptem tais regras ao abrigo da Lei das Comunicações Electrónicas para assegurar que os dados de tráfego e localização sejam da mesma qualidade e sujeitos à mesma segurança e protecção contra acesso não autorizado, alteração, destruição, perda ou roubo ou outro processamento ou utilização não autorizada de dados, de acordo com a Secção 88 da ECA [28]

O comprimento máximo para o qual estes dados podem ser retidos foi também definido. Actualmente, é de 6 meses. Após o termo deste período, uma pessoa singular ou colectiva que retenha dados de tráfego e de localização é obrigada a apagá-los, a menos que tenham sido fornecidos a autoridades autorizadas a utilizá-los ao abrigo de legislação especial ou salvo disposição legal em contrário (Secção 90 da ECA). Além disso, foi estabelecida a obrigação de assegurar que o conteúdo das mensagens não seja retido e entregue durante a conservação dos dados de tráfego e de localização (Secção 97 (3) da ECA).

Ao mesmo tempo, o Código de Processo Penal enfatiza o princípio da subsidiariedade (especialmente os artigos 88 e 88a da Lei n.º 141/1961 Coll., sobre Processos Judiciais Penais): "se o objectivo pretendido não puder ser alcançado de outra forma ou se a sua realização for significativamente mais difícil"). A garantia de um mínimo de inteferência com os direitos humanos fundamentais nestes casos é dada, entre outras coisas, pelo facto de a ordem de emissão de dados de tráfego e localização ser emitida por um juiz sob proposta do procurador público.

Quem tem, portanto, o direito de solicitar a divulgação de dados de tráfego e de localização e em que condições na República Checa? Nos termos da Secção 97 (3) da ECA, uma entidade jurídica ou pessoa singular que retenha dados de tráfego e de localização deve disponibilizá-los sem demora mediante pedido:

a)     as autoridades responsáveis pela aplicação da lei para os fins e em conformidade com as condições estipuladas por um regulamento jurídico especial[29] ,

b)    a Polícia da República Checa para efeitos de iniciar uma busca de uma pessoa procurada ou desaparecida específica, identificar uma pessoa de identidade desconhecida ou a identidade de um cadáver encontrado, prevenir ou detectar ameaças específicas no terrorismo ou rastrear uma pessoa protegida e se as condições estipuladas por um regulamento legal especial forem cumpridas[30] ,

c)     o Serviço de Informação de Segurança para os fins e em conformidade com as condições estipuladas por um regulamento legal especial[31] ,

d)    Informações militares para os fins e em conformidade com as condições estipuladas por um regulamento legal especial[32] ,

e)     o Banco Nacional Checo para os fins e em conformidade com as condições estipuladas pela legislação especial⁶¹⁾[33] .

Na União Europeia, o Tribunal de Justiça da UE (em 8 de Abril de 2014) emitiu um veredicto na sequência do anterior parecer do[34] seu Advogado-Geral Pedro Cruz Villalón[35] , no qual anulou a Directiva de Retenção de Dados relevante (2006/24/CE).

"Pelo acórdão de hoje, o Tribunal de Justiça declara a directiva inválida".

"Dado que o Tribunal de Justiça não limitou os efeitos temporais do acórdão, a declaração de nulidade produz efeitos a partir da data de entrada em vigor da directiva".

Em particular, o Tribunal de Justiça da UE criticou o facto de "o legislador da UE ter excedido os limites estabelecidos pela exigência de conformidade com o princípio da proporcionalidade ao adoptar a Directiva de Retenção de Dados".

A decisão de manter ou revogar a legislação existente que rege a conservação de dados de tráfego e localização nos Estados-Membros da UE cabe inteiramente às autoridades nacionais relevantes, e a própria União Europeia não pretende recomendar ou fornecer qualquer orientação sobre como agir [36]

Como abordar a retenção generalizada dos dados de tráfego e localização? Pessoalmente, acredito que, no ciberespaço, não é possível reconstruir eventos que tiveram lugar no passado a não ser através da retenção de dados de tráfego e localização. O ciberespaço e as TIC, que permitem uma mudança muito rápida na topologia da rede, serviços, etc., tecnologias que permitem a aquisição de várias identidades diferentes em segundos, de facto, não permitem qualquer outra opção.

Estou ciente de que a retenção generalizada de dados de tráfego e localização interfere com os meus direitos e liberdades fundamentais. Contudo, ao adoptar o conceito de contrato social e ao renunciar a parte dos meus direitos e liberdades em favor de uma autoridade (no nosso caso o Estado) para me proteger a mim e aos meus direitos, não tenho, de facto, outra escolha. Creio que, se quisermos verificar e investigar eficazmente a cibercriminalidade, os ciberataques e outros fenómenos negativos que ocorrem no ciberespaço, não o poderemos fazer sem esta ferramenta. A questão que devemos abordar não o deve ser: "Como limitar a recolha de dados e informações sobre pessoas no ciberespaço (porque isto acontece a níveis completamente diferentes) e assim limitar a capacidade do Estado para abordar fenómenos negativos no ciberespaço"? As questões que são completamente legítimas e que devem ser abordadas são: "Como estabelecer as regras, a quem e em que condições permitir o acesso aos dados, o que acontece aos dados, para que fins podem ser utilizados, etc.".

Pessoalmente, acredito que dados semelhantes devem ser retidos não só pelos fornecedores de serviços públicos, mas também por todos os ISP que fornecem um serviço. A minha opinião fundamenta-se nas seguintes razões.

Em primeiro lugar, acredito que outros serviços que não os baseados no fornecimento de ligações são e continuarão a ser a maioria dos serviços no ciberespaço. Assim, um utilizador deixa de abordar a questão de quem o liga e como e está principalmente envolvido em serviços que podem, por exemplo, tomar a forma de uma ligação virtual a vários ambientes virtuais. Assim, não é a ligação física em si que será significativa, mas sim a ligação entre os serviços individuais.

A segunda razão é o facto de a grande maioria dos fornecedores destes serviços já reter não só os dados de tráfego e de localização, mas também uma série de outros dados que os utilizadores lhes permitem reter com base nos Termos de Serviço acordados por um utilizador final em relação a um ISP.

A última razão é a própria protecção de um ISP contra os utilizadores. Um prestador de serviços deve respeitar a lei, e é do seu melhor interesse reter dados que possam potencialmente isentá-lo de responsabilidade, por exemplo, por danos ou outros danos.

Um Advogado-Geral comentou recentemente sobre a retenção de dados de tráfego e localização[37] . Observou que a retenção de dados é, em muitos casos, a única ferramenta eficaz para lidar com os riscos de segurança e crimes graves. Ao mesmo tempo, formulou requisitos para a sua implementação proporcional nos sistemas jurídicos dos Estados Membros.

Representação gráfica da divisão dos fornecedores de ligação e de alguns dos seus direitos e obrigações

3.1.2 Prestadores de serviços baseados no armazenamento automático intermédio de informações fornecidas por um utilizador (o chamado caching)

O cache é baseado na transferência de informação, durante a qual é automaticamente armazenada temporariamente. Subsequentemente, esta informação é transmitida aos destinatários do serviço, a seu pedido.

"O cache é basicamente um arranjo especial do mero serviço de condutas, uma vez que também inclui transmissão com armazenamento intermédio temporário de informação. A única diferença em que o serviço de cache poderia desviar-se do âmbito de um mero conduto amplamente concebido é que o armazenamento durante a transmissão é efectuado por um "período mais longo do que o razoavelmente necessário para a transmissão".[38]

Husovec também descreve muito apropriadamente os serviços de cache no exemplo de um servidor proxy ou navegador de cache, que aceleram o carregamento de páginas web. Um destinatário do serviço é proprietário de um website de notícias diárias (o chamado destinatário primário), cujas imagens são guardadas por um fornecedor de cache num computador geograficamente mais próximo (por exemplo, na Europa) para que não tenha de aceder constantemente ao computador onde o website original é armazenado (por exemplo, África). Consequentemente, a carga global da página (na Europa) é acelerada. Um utilizador que visita o sítio web e é outro destinatário do serviço (o chamado destinatário secundário), assim, com base num pedido individual dirigido ao fornecedor do serviço de cache, obtém uma imagem do seu computador e não é obrigado a "viajar" para o computador original. [39]

Os fornecedores de cache não estão isentos de responsabilidade pela qualidade da informação se violarem a norma ou as condições técnicas acordadas de cache.^[40]

De acordo com a Secção 4 do ACISS, um fornecedor de cache é responsável se o mesmo:

a)    altera o conteúdo da informação,

b)    não preenche as condições de acesso à informação,

c)    não cumpre as regras de actualização de informações geralmente reconhecidas e utilizadas no sector em causa,

d)    exceder a utilização permitida de tecnologia geralmente reconhecida e utilizada na indústria para obter dados de utilização; ou

e)    não tomará medidas imediatas para remover ou negar o acesso à informação que armazena logo que verifique que a informação foi removida ou acedida da rede no ponto de transmissão ou que foi ordenada por um tribunal a retirar ou negar o acesso à mesma.

Um fornecedor de cache não é obrigado a procurar activamente factos e circunstâncias que apontem para o conteúdo ilegal da informação ou a supervisionar o conteúdo da informação transmitida ou armazenada por ele.

3.1.3 Prestadores de serviços baseados no armazenamento de informações fornecidas por um utilizador (o chamado armazenamento ou alojamento)

Fornecer armazenamento ou alojamento significa disponibilizar armazenamento (espaço) a um utilizador para que este possa ali colocar os dados. O armazenamento de informação ou dados, ao contrário do mero conduíte ou caching, não é apenas temporário. Os serviços de alojamento incluem:

a)    Webhosting (Active 24, Ignum, Zoner, etc.)

b)    Armazenamento em nuvem que permite o armazenamento de quaisquer ficheiros e dados (Dropbox, iCloud, Microsoft OneDrive, ownCloud, etc.)

c)    Armazenamento de ficheiros (Rapidshare, DropBox, etc.)

d)    Armazenamento de vídeo (YouTube, etc.)

e)    Armazenamento de ficheiros áudio (iTunes, etc.)

f)     Serviços de leilão na Internet (eBay, etc.)

g)    Blogs, fóruns, chats de discussão, etc.

h)    Meios de comunicação social (Facebook, Twitter, etc.).

A lista acima não é definitiva. Vários outros serviços podem ser fornecidos dentro de um alojamento.

Para os fornecedores de alojamento, a situação com a sua possível responsabilidade legal é a mais complicada.^[41] Mais uma vez, baseia-se nas disposições da Directiva nº 2000/31/CE, cujas recomendações foram adoptadas pelo legislador checo na Secção 5 do ACISS. Esta disposição estipula pelo menos a negligência involuntária de um fornecedor^[42] em relação a um conteúdo ilegal de informação armazenada pelo fornecedor. Contudo, o legislador não obriga os fornecedores a procurar activamente informações ilegais dos utilizadores^[43] (porque, em muitos casos, seria efectivamente uma interferência com os direitos e liberdades fundamentais garantidos pela Carta - por exemplo, o artigo 13º) ou a supervisionar o conteúdo das informações transmitidas ou armazenadas.

De acordo com a Secção 5 (1) do ACISS, um fornecedor de alojamento será responsável se o mesmo:

a)    poderia, em relação ao objecto da sua actividade e às circunstâncias e natureza do caso, saber que o conteúdo da informação armazenada ou da acção do utilizador é ilegal, ou

b)    tendo comprovadamente obtido conhecimento da natureza ilegal das informações armazenadas ou da acção ilegal do utilizador, não tomou, sem demora, todas as medidas, que poderiam ser necessárias, para remover ou impossibilitar o acesso a tais informações.

Um fornecedor de alojamento será sempre responsável pelo conteúdo da informação armazenada se esta exercer, directa ou indirectamente, uma influência decisiva sobre a actividade do utilizador.[44]

Para efeitos desta monografia, foram seleccionados apenas alguns aspectos relacionados com os prestadores de serviços da sociedade da informação, em particular no que diz respeito à usabilidade da informação na detecção e investigação de cibercrimes e ciberataques.