O Plenário iniciou julgamento conjunto de arguição de descumprimento de preceito fundamental (ADPF) e de ação direta de inconstitucionalidade (ADI) ajuizadas em face dos arts. 10, § 2º (1), e 12, III e IV (2), da Lei 12.965/2014 (Marco Civil da Internet).

No caso, os dispositivos questionados têm sido invocados para justificar decisões judiciais que determinaram a suspensão temporária de serviços de mensagens entre usuários da Internet como sanção pelo descumprimento, por parte de empresa responsável pelo aplicativo, de ordem judicial de disponibilização do conteúdo das comunicações.

Ao apreciar a ADI, a ministra Rosa Weber (relatora) julgou procedente o pedido para atribuir interpretação conforme à Constituição ao art. 10, § 2º, da Lei 12.965/2014, a fim de assentar exegese segundo a qual “o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º (3), e para fins de investigação criminal ou instrução processual penal”.

Além disso, julgou parcialmente procedente o pedido sucessivo de atribuição de interpretação conforme à Constituição ao art. 12, III e IV, da Lei 12.965/2014, apenas para assentar que as penalidades de suspensão temporária e de proibição das atividades somente podem ser impostas aos provedores de conexão e de aplicativos de internet nos casos de descumprimento da legislação brasileira quanto a coleta, guarda, armazenamento ou tratamento dos dados, bem como de violação dos direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. Desse modo, fica afastada qualquer exegese que — isoladamente ou em combinação com o art. 7º, II e III, da Lei 12.965/2014 — estenda a sua hipótese de incidência de modo a abarcar o sancionamento de inobservância de ordem judicial de disponibilização de conteúdo de comunicações passíveis de obtenção tão só mediante fragilização deliberada dos mecanismos de proteção da privacidade inscritos na arquitetura da aplicação. Por fim, julgou improcedente o pedido de declaração de inconstitucionalidade do art. 12, III e IV, da Lei 12.965/2014, bem como o de declaração de nulidade parcial sem redução de texto dos mesmos dispositivos.

A ministra Rosa Weber esclareceu que a Lei 12.965/2014 estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, e, assim, ao disciplinar esse uso, se propõe a harmonizar princípios como a garantia da liberdade de expressão e de comunicação, a proteção da privacidade e dos dados pessoais e a responsabilização dos agentes de acordo com suas atividades.

Ressaltou que as ordens judiciais de bloqueio partem da premissa de que houve o descumprimento anterior de uma primeira ordem judicial que determinou o fornecimento do conteúdo das comunicações. Dessa forma, ao serem decretados, os bloqueios comprometem o exercício, por milhões de brasileiros, das liberdades fundamentais de expressão e de comunicação asseguradas pelo texto constitucional, causam verdadeira comoção social, e perturbam relações familiares, transações comerciais, reuniões de negócios e notificações de atos processuais do próprio Poder Judiciário.

Observou que a apontada lesão à Constituição, diante das ordens judiciais de bloqueio de aplicativos de mensagens, não guarda relação direta com a vigência do Marco Civil da Internet brasileira, mas com a sua invocação indevida para a prática de atos que não são amparados por essa norma. A interpretação equivocada da lei, no entanto, não conduz à sua inconstitucionalidade, mas inquina de vício o ato assim praticado, passível de correção pelas vias próprias do devido processo legal.

Pontuou que a capacidade das pessoas de escolherem livremente as informações que pretendem compartilhar, as ideias que pretendem discutir, o estilo de linguagem empregado e o meio de comunicação integram o pleno exercício das liberdades de expressão e de comunicação. O conhecimento de que a comunicação é monitorada por terceiros interfere em todos esses elementos componentes da liberdade de informação: os cidadãos podem mudar o modo de se expressar ou até mesmo absterem-se de falar sobre certos assuntos, no que a doutrina designa por efeito inibitório sobre a liberdade de expressão.

A Constituição Federal (CF) qualifica como invioláveis — na condição de direitos fundamentais da personalidade — a intimidade, a vida privada, a honra e a imagem das pessoas, conferindo-lhes especial proteção, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação (CF, art. 5º, X).

Tal como a liberdade de manifestação do pensamento — e seus desdobramentos como a liberdade de expressão intelectual, artística e científica e a liberdade de imprensa —, o assim chamado direito à privacidade — e os seus consectários: direito à intimidade, à honra e à imagem — também emana do reconhecimento de que a personalidade individual merece ser protegida em todas as suas manifestações.

Na quadra atual, é inegável que a privacidade, enquanto “direito a ser deixado em paz”, merece proteção adequada e efetiva do ordenamento jurídico.

Para a ministra, a proteção da privacidade também é uma característica estrutural indispensável das sociedades democráticas.

Rememorou que tanto o reconhecimento de uma esfera de privacidade imune à ingerência quanto a garantia de salvo-conduto à palavra proferida surgiram, na história do constitucionalismo moderno, como fatores de limitação do poder das autoridades constituídas sobre os cidadãos.

Questionou a utilidade da liberdade de expressão, se aos cidadãos não for assegurada uma esfera de intimidade privada, livre de ingerência externa, um lugar onde o pensamento independente e novo possa ser gestado com segurança.

O escopo da proteção são os assuntos pessoais, em relação aos quais não se vislumbra interesse público legítimo na sua revelação, e que o indivíduo prefere manter privados. A invasão injustificada da privacidade individual é que deve ser repreendida e, tanto quanto possível, prevenida.

Portanto, não podem a hermenêutica constitucional e o desenvolvimento legislativo ficar alheios às mudanças no tempo, tendo em vista a manutenção do equilíbrio entre proteção da privacidade e os limites da atuação do Estado. É que a Constituição, assim como o estado da técnica, institui um conjunto de restrições à atuação estatal. É a combinação de constrangimentos tecnológicos e constrangimentos legais que define, em um dado momento, as restrições efetivamente enfrentadas pelo Estado, caso este deseje intervir em determinado aspecto do domínio privado de um cidadão.

A Constituição escrita no mundo analógico deve ser traduzida para o mundo digital, resguardando os interesses, os direitos e as liberdades previstos originalmente. Desse modo, o sentido das palavras da Constituição, o alcance da proteção constitucional, é preservado em face da mudança do contexto.

A cada estágio do desenvolvimento tecnológico, em que se torna materialmente possível a imposição de níveis de controle cada vez maiores sobre diferentes aspectos das vidas das pessoas, renova-se a questão a ser respondida pelas Cortes quanto a permitir que esses espaços sejam preenchidos com incremento do poder estatal, ou com o incremento das proteções à privacidade individual.

Sem que os institutos se confundam, a garantia do sigilo das comunicações privadas está intimamente relacionada à proteção da privacidade. A Constituição brasileira, a fim de instrumentalizar tais direitos, prevê, no art. 5º, XII, a inviolabilidade do “sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução penal”.

O art. 10, § 2º, da Lei 12.965/2014 veicula hipótese de relativização do sigilo das comunicações compatível, a princípio, com os limites do direito fundamental da personalidade correspondente à proteção do sigilo de dados e de comunicações, consagrado no citado art. 5º, XII, da CF.

No que se refere ao ambiente digital, o art. 3º, II (4), da Lei 12.965/2014 reafirmou a proteção da privacidade como princípio norteador da disciplina do uso da internet no Brasil. Os seus arts. 7º e 8º consagram o papel essencial do acesso à internet para o pleno exercício da cidadania, assegurando, entre outros direitos, a inviolabilidade e o sigilo do fluxo de comunicações do usuário, salvo por ordem judicial, na forma da lei, bem como a inviolabilidade e o sigilo das suas comunicações privadas armazenadas, salvo por ordem judicial.

O art. 5º, XII, da CF, a seu turno, não dá margem a outra exegese que não a de que a lei somente pode autorizar a suspensão do sigilo de comunicações privadas para fins de investigação criminal ou instrução processual penal. Trata-se de limite ao alcance da atividade legislativa, adstrita aos contornos traçados na CF. Ainda que a legislação não estampe no próprio texto a limitação do seu alcance, é dever do intérprete atentar para a regência constitucional ao aplicar a lei no caso concreto.

A ministra entendeu que a adequada exegese dos arts. 7º, II e III, e 10, § 2º, do Marco Civil da Internet, à luz do art. 5º, XII, da CF, conduz à conclusão inequívoca de que, à maneira das comunicações telefônicas, a inviolabilidade do sigilo das comunicações realizadas pela internet somente pode ser excepcionada, por ordem judicial, no âmbito da persecução penal. Na expressa dicção da Constituição, “para fins de investigação criminal ou instrução processual penal”.

Destacou, ademais, que a obrigação de guarda de “metadados”, de que trata o art. 15 (5) do Marco Civil da Internet, não se estende a conteúdo. O referido preceito é expresso ao determinar, aos provedores de aplicações de internet, a guarda, sob sigilo, dos registros de acesso (metadados).

Ao permitir a disponibilização do conteúdo de comunicações privadas — em fluxo ou armazenadas — somente por ordem judicial, nas hipóteses e na forma que a lei estabelecer, o art. 10, § 2º, da Lei 12.965/2014 transita dentro do campo semântico demarcado pelo art. 5º, XII, da CF, segundo o qual o sigilo das comunicações telegráficas, de dados e das comunicações telefônicas pode ser levantado, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal.

Sobre a licitude do uso, nas comunicações privadas, de tecnologias de proteção do sigilo e da segurança das comunicações, notadamente das tecnologias criptográficas, que tornem materialmente inviável o cumprimento, pela plataforma, de eventual comando judicial de disponibilização do conteúdo de comunicações privadas havidas por seu intermédio, bem como sobre a possibilidade de imposição de penalidades em razão da não observância de determinação nesse sentido, a ministra ponderou que o poder estatal de determinar a disponibilização do conteúdo de mensagens no âmbito de investigação criminal ou da instrução processual penal não conduz à conclusão de ser ilegal o oferecimento de serviço que adote tecnologia que torne inacessível o conteúdo das mensagens ao próprio provedor da plataforma. Isso porque, uma vez desenvolvida e adotada tecnologia voltada a garantir a segurança e a privacidade das comunicações, e oferecida essa tecnologia como valor agregado aos particulares que contratam seus serviços, não pode o Estado compeli-lo a oferecer um serviço menos seguro e vulnerável, sob o pretexto de que pode vir, eventualmente, a utilizar essa vulnerabilidade artificial, para cumprir ordem judicial. Isso significaria tornar ilegal a criptografia, ou pelo menos alguns de seus usos.

A mesma tecnologia que tornaria mais fácil às autoridades de segurança pública acessarem conteúdo armazenado pode ser utilizada por criminosos para terem acesso a informações privadas de futuras vítimas.

Sendo viável o cumprimento da ordem judicial, por óbvio ela deve ser atendida, seja pelo provedor do serviço que recebe o comando de disponibilização, seja por agentes estatais incumbidos de efetivar o acesso. O provedor que, podendo, não cumpre a determinação, incorre em descumprimento de ordem judicial, podendo ser impelido ao cumprimento, inclusive com a imposição de astreintes.

O último questionamento que se põe consiste em saber se o art. 12, III e IV, da Lei 12.965/2014 autoriza sejam impostas a suspensão temporária e a proibição do exercício das atividades a provedor responsável pela guarda de registros de conexão e de acesso a aplicações de internet, dados pessoais e do conteúdo de comunicações privadas, em caso de descumprimento de ordem judicial de disponibilização do conteúdo de comunicações privadas.

O art. 12, III e IV, da Lei 12.965/2014 autoriza seja imposta a suspensão temporária ou a proibição do exercício apenas das atividades que envolvem a “operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações” (atos previstos no art. 11). E o caput do art. 12 é expresso ao enunciar que tais sanções somente podem ser cominadas em caso de descumprimento, pelo responsável pela guarda de registros de conexão e de acesso, de dados pessoais e do conteúdo de comunicações privadas, dos deveres fixados nos arts. 10 e 11, quais sejam: (a) violação do dever de preservar a intimidade, a vida privada, a honra e a imagem dos usuários do serviço; (b) disponibilização do conteúdo de comunicações privadas a qualquer terceiro, público ou privado, sem ordem judicial que tenha sido proferida no âmbito de investigação criminal ou de instrução processual penal, em hipótese e na forma permitida pela lei; (c) falha em informar, de forma clara, as medidas e os procedimentos de segurança e de sigilo adotados para a guarda dos registros; (d) descumprimento da legislação brasileira, em particular dos direitos à privacidade, à proteção de dados pessoais e ao sigilo das comunicações privadas e dos registros, nas operações de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações, quando pelo menos um desses atos ocorra em território nacional; (e) descumprimento do dever de prestar informações que permitam a verificação do cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como ao respeito à privacidade e ao sigilo das comunicações.

Sublinhou que, a mens legis das sanções previstas no art. 12 da Lei 12.965/2014 é voltada à proteção da privacidade, e não o contrário.

O que é apenada é a violação da privacidade e de outros direitos dos usuários fora dos estritos limites legais. Não há nada na Lei 12.965/2014 que autorize a conclusão de que o art. 12, em seus III e IV, ampare ordens de suspensão do serviço de comunicação oferecido por provedores de aplicativos em caso de desatendimento de ordem judicial de fornecimento do conteúdo de comunicações.

O art. 12, III e IV, da Lei 12.965/2014 permite a suspensão ou proibição das atividades que envolvam a “operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações” justamente para salvaguardar a integridades desses elementos em face de provedor que venha a vulnerá-los.

Trata-se de uma norma protetiva dos direitos dos usuários, que de modo algum configura suporte jurídico para a imposição de sanções em decorrência do descumprimento de ordem judicial.

Em razão da falta de previsão legal, não há justificativa para que as penalidades previstas nos incisos do art. 12 da Lei 12.965/2014 sejam impostas, necessariamente, de forma progressiva. A imposição da penalidade deve ser sopesada caso a caso e deve, por óbvio, ser proporcional à infração.

Ao apreciar a ADPF, o ministro Edson Fachin (relator) julgou procedente o pedido formulado para declarar a inconstitucionalidade parcial sem redução de texto tanto do inciso II do art. 7º quanto do inciso III do art. 12 da Lei 12.965/2014, de modo a afastar qualquer interpretação do dispositivo que autorize ordem judicial que exija acesso excepcional a conteúdo de mensagem criptografada ponta-a-ponta ou que, por qualquer outro meio, enfraqueça a proteção criptográfica de aplicações da internet.

O ministro esclareceu que o objeto da presente arguição consiste em saber se é constitucional eventual ordem judicial de acesso por órgãos estatais ao conteúdo de comunicações protegidas por criptografia, conforme previsão constante do art. 7º, II, do Marco Civil da Internet; bem como saber se a sanção prevista no inciso III do art. 12 do mesmo diploma legal pode ser aplicada pelo Poder Judiciário.

Destacou que a precisa definição do objeto da arguição permite, de plano, identificar três premissas que emergiram da manifestação dos amici curiae.

A primeira seria a de que a demanda pela criptografia é especialmente derivada da proteção que se espera ter da liberdade de expressão em uma sociedade democrática. A criptografia é, portanto, um meio de se assegurar a proteção de direitos que, em uma sociedade democrática, são essenciais para a vida pública.

A segunda premissa é a de que todos os órgãos estatais, assim como a sociedade civil, reconhecem que a criptografia protege os direitos dos usuários da internet, garantindo a privacidade de suas comunicações, e que, portanto, é do interesse do Estado brasileiro encorajar as empresas e as pessoas a utilizarem a criptografia a fim de manter o ambiente digital com a maior segurança possível para os usuários.

A terceira premissa é a de que o desafio a esse modelo de proteção da privacidade emerge basicamente de casos como o dos autos, isto é, quando o acesso a mensagens protegidas por criptografia depende da autorização exclusiva do próprio usuário do serviço. O desafio também se faz presente na proteção da criptografia disponível para equipamento específicos, como telefones celulares smartphones, ou computadores portáteis. Em ambos os casos, a preocupação é justificada pelas dificuldades técnicas na apuração de crimes que gravemente violam direitos fundamentais, como, por exemplo, os casos de pornografia infantil e de condutas antidemocráticas, como manifestações xenófobas, racistas e intolerantes, que ameaçam o Estado de Direito. Os órgãos de segurança ficam, pois, privados de instrumento tido por indispensável — e que é reconhecido como plenamente legítimo em relação às chamadas telefônicas — na solução dessas violações.

Assim, a partir das premissas aqui indicadas é possível localizar a questão que se afigura chave para enfrentar o mérito da ADPF, qual seja, saber se o risco público representado pelo uso da criptografia justifica a restrição desse direito por meio da imposição de soluções de software, como, por exemplo, a proibição da criptografia ou a criação de canais excepcionais de acesso ou pela diminuição do nível de proteção.

A resposta a essa questão depende de um rigoroso exame de proporcionalidade, isto é, de uma avaliação cuidadosa para saber se o que se ganha com a promoção de um interesse público é ou não compensado com a restrição de direitos. Além disso, é preciso que a Corte leve em devida conta a certeza científica que se tem sobre essas informações, assim como o grau de institucionalização promovido pelo Estado. Afinal, “quanto mais grave for o peso de uma interferência em um direito constitucional, maior deve ser a certeza sobre as premissas que a fundamentam”.

O Marco Civil da Internet ainda prevê, em seu art. 8º, que “a garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet”.

A proteção constitucionalmente assegurada ao direito à privacidade é, portanto, elevada, digna dos direitos que detêm a mais ampla primazia no ordenamento nacional.

A mesma conclusão pode ser feita para o direito à liberdade de pensamento e de expressão que conta, no âmbito da jurisprudência desta Corte, com um grau elevado de proteção.

De fato, a legislação brasileira prevê salvaguardas à proteção da privacidade nos casos de interceptação de comunicações, como a excepcionalidade da medida, a restrição apenas para casos mais graves e, finalmente, a reserva de jurisdição.

O próprio Marco Civil da Internet, no art. 7º, II, indica a possibilidade de restrição da privacidade. A dúvida, portanto, não recai sobre a relevância do direito que fundamenta a restrição, em alguns casos, certamente elevada, mas a de saber se o que se ganha com o acesso excepcional é modico o suficiente para justificá-la.

Destacou que as empresas passaram a colocar à disposição dos usuários mecanismos de criptografia e de anonimato. A presente ADPF destina-se a investigar, concretamente, se a proteção criptográfica aos direitos à privacidade, à liberdade de opinião e à liberdade de expressão pode ser afastada.

A criptografia é um meio de proteger a privacidade das pessoas no ambiente digital. A criptografia nada mais é do que um processo matemático de conversão de mensagens, informações ou dados que os torna ilegíveis por qualquer pessoa a não ser o destinatário da mensagem. A criptografia serve, assim, para proteger o conteúdo da mensagem, mas ela não protege os chamados “metadados”, como, por exemplo, o endereço de IP. O anonimato visa, precisamente, evitar a identificação desses dados.

A melhor interpretação constitucional da expressão “vedado o anonimato” é a de, minimamente, garantir a responsabilidade, sempre ulterior, de quem abusa de sua liberdade de expressão ou de opinião. Vale dizer, é à luz da teleologia do comando constitucional que se deve interpretar eventual restrição à liberdade de pensamento. Assim, desde que assegurada a responsabilização nos casos de abuso, o anonimato online não violaria o direito à liberdade de expressão.

No que tange à liberdade de opinião, livre de ingerências arbitrárias, é preciso ter-se em conta que a maneira pela qual a opinião se expressa online tem particularidades. As pessoas constantemente salvam suas opiniões, e-mails, páginas visitadas, arquivos encontrados na internet e os armazenam em seus computadores pessoais, na nuvem, em arquivos protegidos. As violações desse direito podem ocorrer tanto offline, com a intimidação, bullying, violências físicas ou psicológicas, quanto online, pela negativa de acesso, pela vigilância constante ou campanhas de ódio. O direito à opinião abrange, ainda, o direito à formação de opinião, que é muito próximo do direito de buscar e receber informações. No ambiente digital, esquemas de vigilância constante interferem drasticamente com o livre usufruto desse direito. Esse risco de coleta indiscriminada de informação é também mitigado pela criptografia e pelo anonimato.

Finalmente, a proteção dada pela criptografia e pelo anonimato também são extremamente úteis em locais e cenários em que predominam atividades censórias.

É inegável que a garantia de proteção à privacidade e à liberdade de expressão por meio da criptografia traz riscos à segurança pública. Esse risco é medido pelos aumentos de custos para a realização de investigações criminais, porquanto a capacidade de monitoramento e de interceptação de mensagens é tida como uma das principais formas — e para alguns crimes até a única — de se apurar ilícitos.

Reputou que a concessão de privilégios especiais a agentes do governo para o acesso à criptografia apresenta riscos graves à segurança de todos.

Além dos riscos de tornar a vulnerabilidade do sistema explorável por outras pessoas, eventual acesso excepcional de um aplicativo faria com que os usuários migrassem em direção a outros, mais seguros. No caso de criminosos, a consequência provável, como se teve oportunidade de debater na audiência pública, é de optarem por sistemas ainda mais restritos, ainda mais difíceis de serem rastreados.

É contraditório, portanto, que, em nome da segurança pública, se deixe de promover e buscar uma internet mais segura. Uma internet mais segura é direito de todos e dever do Estado. Medidas que, à luz da melhor evidência científica, trazem insegurança aos usuários somente se justificam se houver certeza comparável aos ganhos obtidos em outras áreas. Não é isso, porém, o que ocorre. O risco causado pelo uso da criptografia ainda não justifica a imposição de soluções que envolvam acesso excepcional.

Portanto, é inconstitucional proibir as pessoas de utilizarem a “criptografia ponta-a-ponta”, pois uma ordem como essa impacta desproporcionalmente as pessoas mais vulneráveis.

Frisou, por fim, que o reconhecimento de um direito constitucional à criptografia forte não isenta as empresas que produzem os aplicativos de se conformarem com a legislação brasileira e de cumprirem as ordens judiciais que, na medida da estrita proporcionalidade, exijam a entrega de dados que não dependam da quebra de criptografia.

Seja como for, a suspensão das atividades do aplicativo ou mesmo sua proibição não caberá para o caso de descumprimento de decisão judicial de quebra de criptografia, mas para um quadro de violação grave do dever de obediência à legislação. Não é preciso minudenciar, mas é evidente que mesmo aqui a sanção deverá observar a proporcionalidade, tendo sempre em conta o direito do usuário de não ter suspenso seu acesso à internet. É certo, pois, que não cabe aos juízes que ordinariamente autorizam as interceptações telemáticas aplicarem a sanção prevista no art. 12, III, do Marco Civil da Internet.

Essa interpretação, no entanto, só é posta em dúvida, caso se admita a possibilidade de se determinar o enfraquecimento da criptografia, ou, para o caso do WhatsApp, de se determinar a disponibilização do conteúdo das mensagens. Reconhecendo, tal como se fez nesta manifestação, que os juízes não podem determinar o acesso excepcional ao conteúdo de mensagem criptografada, não é necessária a declaração de inconstitucionalidade ou a fixação de interpretação conforme do art. 12, III, do Marco Civil, porque o único sentido da norma é precisamente o que já está garantido pelo ordenamento.

Em seguida, pediu vista dos dois feitos, o ministro Alexandre de Moraes.

(1) Lei 12.965/2014: “Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. § 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º. § 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º.”
(2) Lei 12.965/2014: “Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção; III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11. Parágrafo único. Tratando-se de empresa estrangeira, responde solidariamente pelo pagamento da multa de que trata o caput sua filial, sucursal, escritório ou estabelecimento situado no País.”
(3) Lei 12.965/2014: “Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: (…) II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;”
(4) Lei 12.965/2014: “Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: (…) II – proteção da privacidade;”
(5) Lei 12.965/2014: “Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. § 1º Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado. § 2º A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3º e 4º do art. 13. § 3º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo. § 4º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.”

ADI 5527/DF, rel. Min. Rosa Weber, julgamento em 27 e 28.5.2020. (ADI-5527)
ADPF 403/SE, rel. Min. Edson Fachin, julgamento em 27 e 28.5.2020. (ADPF-403)