quinta-feira, 21 de janeiro de 2021

MIGALHAS DE PESO

Publicidade

Publicado decreto que regulamenta o Marco Civil da Internet

O texto final do decreto cria importantes obrigações para todos os provedores de conexão e de aplicações de Internet que operam no Brasil, independentemente de estarem sediados no País.

terça-feira, 17 de maio de 2016

Como parte do pacote de medidas que antecedeu a suspensão das funções da Presidente Dilma Rousseff pelo Congresso Nacional, foi publicado em edição extra do Diário Oficial da União, de 11 de maio de 2016, o decreto 8.771, que regulamenta o Marco Civil da Internet (Lei 12.965/14). O decreto trata das hipóteses admitidas de discriminação de pacotes de dados na Internet e de degradação de tráfego, indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela Administração Pública e estabelece parâmetros para fiscalização e apuração de infrações.

Em 27 de janeiro de 2016 o Ministério da Justiça havia submetido uma minuta do texto do decreto a consulta pública. Essa minuta já era resultado de um debate público realizado em ambiente digital durante o ano de 2015.

O texto final do decreto, com alterações relevantes em relação à minuta submetida a consulta pública, entrará em vigor 30 dias após a sua publicação, e cria importantes obrigações para todos os provedores de conexão e de aplicações de Internet que operam no Brasil, independentemente de estarem sediados no País. Abaixo são descritas as disposições introduzidas pelo decreto.

Neutralidade de rede?

?De acordo com o Marco Civil da Internet, neutralidade de rede (garantia de tratamento isonômico a quaisquer pacotes de dados pelo responsável por sua transmissão) é a regra e a discriminação ou degradação do tráfego só é permitida em duas hipóteses excepcionais: requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações, ou priorização de serviços de emergência. Além disso, o Marco Civil da Internet estabelece que nas situações de degradação ou discriminação de tráfego permitidas, o responsável deve agir com proporcionalidade, isonomia, transparência, abstendo-se de causar dano aos usuários e de praticar condutas anti-concorrenciais.

O decreto que regulamenta o Marco Civil trouxe uma lista específica e exaustiva do que seriam as hipóteses de exceção permitida à neutralidade de rede. De acordo com o art. 5º do decreto, "requisitos técnicos indispensáveis à prestação do serviço" são: (i) o tratamento de questões de segurança, como restrição ao spam e controle de ataques de negação de serviços; e (ii) o tratamento de situações excepcionais de congestionamento de rede.

A Agência Nacional de Telecomunicações Anatel ficou responsável pela fiscalização e apuração de infrações relacionadas às exceções à neutralidade de rede indicadas acima, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr.

Medidas de gerenciamento de rede, utilizando técnicas compatíveis com padrões internacionais, também são permitidas, desde que sejam observados parâmetros regulatórios expedidos pela Anatel e consideradas as diretrizes estabelecidas pelo CGIbr. As medidas de gerenciamento devem ser informadas com transparência, por exemplo, por meio de indicação nos contratos de prestação de serviços e nos sítios eletrônicos pertinentes.

Note-se que a minuta do decreto originalmente colocada em consulta pública trazia outras previsões de hipóteses permitidas de discriminação ou degradação de tráfego, que eram bastante mais abrangentes e um pouco vagas e foram excluídas da redação final: gerenciamento de padrões mínimos de qualidade de rede e tratamento de questões imprescindíveis para a adequada fruição das aplicações, considerando a qualidade da experiência do usuário. Também foi excluído da redação final do decreto, o dispositivo que permitia ao responsável pela transmissão dos dados adotar medidas de tratamento diferenciado para classes de aplicações distintas.

Com relação às exceções à neutralidade de rede decorrentes da priorização de serviços de emergência, o decreto manteve praticamente o mesmo texto da sua minuta original, listando apenas as situações de comunicações destinadas aos prestadores de serviços de emergência ou necessárias para informar a população de situações de risco de desastre, emergência ou estado de calamidade pública, casos em que a transmissão dos dados deverá inclusive ser gratuita.

Por fim, foram expressamente proibidos acordos entre o responsável pela transmissão dos pacotes de dados e os provedores de aplicação que (i) priorizem pacotes de dados em razão de arranjos comerciais; (ii) privilegiem aplicações ofertadas pelo próprio responsável pela transmissão dos dados (ou por empresas do mesmo grupo econômico); ou (iii) que de outra forma comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, princípios e objetivos do uso da internet no País. A necessidade de avaliação desses acordos pelo órgão competente, que era prevista na minuta original do decreto, foi excluída da redação final.

O decreto não deixa claro se práticas como zero rating ou acesso patrocinado a aplicações de internet configuram ou não ofensa à neutralidade de rede. A oferta de fast lanes fica claramente proibida.

Proteção aos registros, dados pessoais e comunicações privadas de usuários da Internet

O decreto esclarece que as autoridades administrativas autorizadas por lei a requisitarem dos provedores, independentemente de ordem judicial, dados cadastrais de usuários da Internet, devem, ao fazê-lo, indicar o fundamento legal de sua competência expressa para o acesso e a motivação para o pedido (art. 11, caput).

A indicação do fundamento legal da competência da autoridade administrativa para o requerimento de dados de identificação de usuários sem ordem judicial é muito benvinda, haja vista que, em inúmeros casos, as autoridades valem-se de disposições genéricas para justificar a suposta obrigatoriedade de fornecimento de dados de usuário sem ordem judicial, o que, como reconhecido, é situação excepcional dentro do Marco Civil da Internet (a regra é o fornecimento somente mediante a ordem judicial, nos termos do artigo 15).

Embora o decreto não mencione expressamente, o texto do Marco Civil da Internet deixa claro que o acesso, por autoridades administrativas, a dados cadastrais de usuários da Internet, independentemente de ordem judicial, é autorizado somente "na forma da lei", isto é, nas hipóteses em que as autoridades administrativas são expressamente autorizadas pela legislação a obter essas informações sem ordem judicial - o que se dá, atualmente, para fins de investigação de crimes de lavagem ou ocultação de bens, direitos e valores (artigos 17-B da lei 9.613/98) e de organização criminosa (15 da lei 12.850/13).

Conforme indicado no decreto, são considerados dados cadastrais a filiação, o endereço e a qualificação pessoal do usuário, entendida como nome, prenome, estado civil e profissão (art. 11, § 2º). O provedor que não coletar esses dados deverá informar tal fato à autoridade solicitante ao receber uma requisição, ficando desobrigado de fornecê-los (art. 11, § 1º) e imune a sanções, haja vista que não existe obrigação legal de guarda dessas informações.

Igualmente importante a regulamentação pelo Decreto no sentido de que se os provedores não coletarem nome, qualificação pessoal e filiação, estarão desobrigados ao fornecimento dessas informações e, portanto, não poderá se falar em desobediência ou não cumprimento de requerimentos de autoridades administrativas e também judiciais.

O decreto ainda deixa claro que as requisições devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos (art. 11, § 3º). Além disso, a autoridade máxima de cada órgão da Administração Pública Federal deverá publicar anualmente em seu site na Internet relatórios estatísticos de requisição de dados cadastrais (art. 12).

Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas de usuários da Internet

O decreto estabelece que os provedores de conexão e de aplicações de Internet devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas de usuários, observar as seguintes diretrizes sobre padrões de segurança (art. 13):

  • o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
  • a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
  • a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado; e
  • o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

A implementação dessas medidas certamente demandará ajustes e investimentos por parte dos provedores, o que pode implicar, ao menos em um primeiro momento, reflexos de ordem técnica no funcionamento de seus serviços e maior onerosidade para os usuários. Críticas podem ser feitas, ainda, à necessidade e eficácia de algumas das medidas previstas no Decreto para o fim de assegurar a segurança dos dados de usuários da Internet.

Como aspecto positivo, o decreto consagra como solução técnica plenamente revestida de legalidade a encriptação - medida que, embora despertando intensos debates jurídicos em países como os Estados Unidos pelo fato de ser vista por algumas autoridades como obstáculo para a investigação de crimes, é capaz de assegurar a inviolabilidade dos dados de usuários da Internet, um dos pilares centrais do Marco Civil da Internet.

Ainda com o propósito de assegurar a privacidade de usuários da Internet, o Decreto prevê que os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos ao ser atingida a finalidade de seu uso ou se encerrado o prazo determinado por obrigação legal (art. 13, § 2º).

É evidente que em relação a serviços que têm como pressuposto e objetivo do próprio usuário a utilização de seus dados pessoais, como as redes sociais, a finalidade de uso dessas informações se faz presente, ao menos, durante todo o período em que o serviço é utilizado. Nesses casos, enquanto houver a relação entre o usuário e o provedor, este não tem a obrigação de excluir os respectivos dados pessoais por força do quanto previsto no decreto.

O decreto define como "dado pessoal" qualquer "dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa" (art. 14, I). Além de extremamente ampla, por abranger qualquer informação relacionada ao usuário, desde que identificado ou identificável, essa definição não deixa claro se o endereço IP (internet protocol) caracteriza-se ou não como dado pessoal.

Por sua amplitude e falta de clareza, a definição de "dado pessoal" prevista no decreto certamente causará incerteza entre os provedores quanto ao tratamento a ser dispensado aos diversos tipos de informações de usuários a que têm acesso e sua delimitação deverá ser objeto de divergência entre juízes e tribunais, até a manifestação clara de uma corte superior sobre o tema.

O decreto também fornece uma definição de "tratamento de dados pessoais", caracterizando-o como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 14, II).

Fiscalização e transparência

O decreto prevê que a Anatel, a Secretaria Nacional do Consumidor e o Sistema Brasileiro de Defesa da Concorrência atuarão, de acordo com sua competência e natureza do tema tratado, na regulação, na fiscalização e na apuração de infrações praticadas pelos provedores de serviços de Internet (arts. 17 a 19). A apuração das infrações ao Marco Civil da Internet e ao decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado (art. 21).

A despeito das prováveis discussões nas esferas administrativa e judicial envolvendo as disposições introduzidas pelo Decreto - próprias de um diploma legal que, sem a necessária clareza, versa sobre tema em constante evolução - é certo que os provedores de conexão e de aplicações de Internet devem, desde logo, se adequarem às normas que passarão a valer em 30 dias, a fim de evitar a aplicação de sanções pelas autoridades competentes.

_____________

*Raphael de Cunto, André Zonaro Giacchetta, Ciro Torres Freitas e Beatriz Landi Laterza Figueiredo são sócios e associados do escritório Pinheiro Neto Advogados.









*Este artigo foi redigido meramente para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.

© 2016. Direitos Autorais reservados a PINHEIRO NETO ADVOGADOS

Atualizado em: 16/5/2016 11:05

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

AUTORES MIGALHAS VIP

Gilberto Bercovici

Gilberto Bercovici

Informativo Migalheiro desde 2007
Carlos Barbosa

Carlos Barbosa

Informativo Migalheiro desde 2019
Giselle Farinhas

Giselle Farinhas

Informativo Migalheira desde 2017
Flávia Pereira Ribeiro

Flávia Pereira Ribeiro

Informativo Migalheira desde 2019
Letícia Baddauy

Letícia Baddauy

Informativo Migalheira desde 2020
Scilio Faver

Scilio Faver

Informativo Migalheiro desde 2020
Valmir Pontes Filho

Valmir Pontes Filho

Informativo Migalheiro desde 2004
Fabricio Soler

Fabricio Soler

Informativo Migalheiro desde 2018
Carla Domenico

Carla Domenico

Informativo Migalheira desde 2011
Anna Carolina Venturini

Anna Carolina Venturini

Informativo Migalheira desde 2014
Diogo L. Machado de Melo

Diogo L. Machado de Melo

Informativo Migalheiro desde 2008

Publicidade