Como parte do pacote de medidas que antecedeu a suspensão das funções da Presidente Dilma Rousseff pelo Congresso Nacional, foi publicado em edição extra do Diário Oficial da União, de 11 de maio de 2016, o decreto 8.771, que regulamenta o Marco Civil da Internet (Lei 12.965/14). O decreto trata das hipóteses admitidas de discriminação de pacotes de dados na Internet e de degradação de tráfego, indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela Administração Pública e estabelece parâmetros para fiscalização e apuração de infrações.
Em 27 de janeiro de 2016 o Ministério da Justiça havia submetido uma minuta do texto do decreto a consulta pública. Essa minuta já era resultado de um debate público realizado em ambiente digital durante o ano de 2015.
O texto final do decreto, com alterações relevantes em relação à minuta submetida a consulta pública, entrará em vigor 30 dias após a sua publicação, e cria importantes obrigações para todos os provedores de conexão e de aplicações de Internet que operam no Brasil, independentemente de estarem sediados no País. Abaixo são descritas as disposições introduzidas pelo decreto.
Neutralidade de rede?
?De acordo com o Marco Civil da Internet, neutralidade de rede (garantia de tratamento isonômico a quaisquer pacotes de dados pelo responsável por sua transmissão) é a regra e a discriminação ou degradação do tráfego só é permitida em duas hipóteses excepcionais: requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações, ou priorização de serviços de emergência. Além disso, o Marco Civil da Internet estabelece que nas situações de degradação ou discriminação de tráfego permitidas, o responsável deve agir com proporcionalidade, isonomia, transparência, abstendo-se de causar dano aos usuários e de praticar condutas anti-concorrenciais.
O decreto que regulamenta o Marco Civil trouxe uma lista específica e exaustiva do que seriam as hipóteses de exceção permitida à neutralidade de rede. De acordo com o art. 5º do decreto, "requisitos técnicos indispensáveis à prestação do serviço" são: (i) o tratamento de questões de segurança, como restrição ao spam e controle de ataques de negação de serviços; e (ii) o tratamento de situações excepcionais de congestionamento de rede.
A Agência Nacional de Telecomunicações Anatel ficou responsável pela fiscalização e apuração de infrações relacionadas às exceções à neutralidade de rede indicadas acima, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr.
Medidas de gerenciamento de rede, utilizando técnicas compatíveis com padrões internacionais, também são permitidas, desde que sejam observados parâmetros regulatórios expedidos pela Anatel e consideradas as diretrizes estabelecidas pelo CGIbr. As medidas de gerenciamento devem ser informadas com transparência, por exemplo, por meio de indicação nos contratos de prestação de serviços e nos sítios eletrônicos pertinentes.
Note-se que a minuta do decreto originalmente colocada em consulta pública trazia outras previsões de hipóteses permitidas de discriminação ou degradação de tráfego, que eram bastante mais abrangentes e um pouco vagas e foram excluídas da redação final: gerenciamento de padrões mínimos de qualidade de rede e tratamento de questões imprescindíveis para a adequada fruição das aplicações, considerando a qualidade da experiência do usuário. Também foi excluído da redação final do decreto, o dispositivo que permitia ao responsável pela transmissão dos dados adotar medidas de tratamento diferenciado para classes de aplicações distintas.
Com relação às exceções à neutralidade de rede decorrentes da priorização de serviços de emergência, o decreto manteve praticamente o mesmo texto da sua minuta original, listando apenas as situações de comunicações destinadas aos prestadores de serviços de emergência ou necessárias para informar a população de situações de risco de desastre, emergência ou estado de calamidade pública, casos em que a transmissão dos dados deverá inclusive ser gratuita.
Por fim, foram expressamente proibidos acordos entre o responsável pela transmissão dos pacotes de dados e os provedores de aplicação que (i) priorizem pacotes de dados em razão de arranjos comerciais; (ii) privilegiem aplicações ofertadas pelo próprio responsável pela transmissão dos dados (ou por empresas do mesmo grupo econômico); ou (iii) que de outra forma comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, princípios e objetivos do uso da internet no País. A necessidade de avaliação desses acordos pelo órgão competente, que era prevista na minuta original do decreto, foi excluída da redação final.
O decreto não deixa claro se práticas como zero rating ou acesso patrocinado a aplicações de internet configuram ou não ofensa à neutralidade de rede. A oferta de fast lanes fica claramente proibida.
Proteção aos registros, dados pessoais e comunicações privadas de usuários da Internet
O decreto esclarece que as autoridades administrativas autorizadas por lei a requisitarem dos provedores, independentemente de ordem judicial, dados cadastrais de usuários da Internet, devem, ao fazê-lo, indicar o fundamento legal de sua competência expressa para o acesso e a motivação para o pedido (art. 11, caput).
A indicação do fundamento legal da competência da autoridade administrativa para o requerimento de dados de identificação de usuários sem ordem judicial é muito benvinda, haja vista que, em inúmeros casos, as autoridades valem-se de disposições genéricas para justificar a suposta obrigatoriedade de fornecimento de dados de usuário sem ordem judicial, o que, como reconhecido, é situação excepcional dentro do Marco Civil da Internet (a regra é o fornecimento somente mediante a ordem judicial, nos termos do artigo 15).
Embora o decreto não mencione expressamente, o texto do Marco Civil da Internet deixa claro que o acesso, por autoridades administrativas, a dados cadastrais de usuários da Internet, independentemente de ordem judicial, é autorizado somente "na forma da lei", isto é, nas hipóteses em que as autoridades administrativas são expressamente autorizadas pela legislação a obter essas informações sem ordem judicial – o que se dá, atualmente, para fins de investigação de crimes de lavagem ou ocultação de bens, direitos e valores (artigos 17-B da lei 9.613/98) e de organização criminosa (15 da lei 12.850/13).
Conforme indicado no decreto, são considerados dados cadastrais a filiação, o endereço e a qualificação pessoal do usuário, entendida como nome, prenome, estado civil e profissão (art. 11, § 2º). O provedor que não coletar esses dados deverá informar tal fato à autoridade solicitante ao receber uma requisição, ficando desobrigado de fornecê-los (art. 11, § 1º) e imune a sanções, haja vista que não existe obrigação legal de guarda dessas informações.
Igualmente importante a regulamentação pelo Decreto no sentido de que se os provedores não coletarem nome, qualificação pessoal e filiação, estarão desobrigados ao fornecimento dessas informações e, portanto, não poderá se falar em desobediência ou não cumprimento de requerimentos de autoridades administrativas e também judiciais.
O decreto ainda deixa claro que as requisições devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos (art. 11, § 3º). Além disso, a autoridade máxima de cada órgão da Administração Pública Federal deverá publicar anualmente em seu site na Internet relatórios estatísticos de requisição de dados cadastrais (art. 12).
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas de usuários da Internet
O decreto estabelece que os provedores de conexão e de aplicações de Internet devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas de usuários, observar as seguintes diretrizes sobre padrões de segurança (art. 13):
-
o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
-
a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
-
a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado; e
-
o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
A implementação dessas medidas certamente demandará ajustes e investimentos por parte dos provedores, o que pode implicar, ao menos em um primeiro momento, reflexos de ordem técnica no funcionamento de seus serviços e maior onerosidade para os usuários. Críticas podem ser feitas, ainda, à necessidade e eficácia de algumas das medidas previstas no Decreto para o fim de assegurar a segurança dos dados de usuários da Internet.
Como aspecto positivo, o decreto consagra como solução técnica plenamente revestida de legalidade a encriptação – medida que, embora despertando intensos debates jurídicos em países como os Estados Unidos pelo fato de ser vista por algumas autoridades como obstáculo para a investigação de crimes, é capaz de assegurar a inviolabilidade dos dados de usuários da Internet, um dos pilares centrais do Marco Civil da Internet.
Ainda com o propósito de assegurar a privacidade de usuários da Internet, o Decreto prevê que os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos ao ser atingida a finalidade de seu uso ou se encerrado o prazo determinado por obrigação legal (art. 13, § 2º).
É evidente que em relação a serviços que têm como pressuposto e objetivo do próprio usuário a utilização de seus dados pessoais, como as redes sociais, a finalidade de uso dessas informações se faz presente, ao menos, durante todo o período em que o serviço é utilizado. Nesses casos, enquanto houver a relação entre o usuário e o provedor, este não tem a obrigação de excluir os respectivos dados pessoais por força do quanto previsto no decreto.
O decreto define como "dado pessoal" qualquer "dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa" (art. 14, I). Além de extremamente ampla, por abranger qualquer informação relacionada ao usuário, desde que identificado ou identificável, essa definição não deixa claro se o endereço IP (internet protocol) caracteriza-se ou não como dado pessoal.
Por sua amplitude e falta de clareza, a definição de "dado pessoal" prevista no decreto certamente causará incerteza entre os provedores quanto ao tratamento a ser dispensado aos diversos tipos de informações de usuários a que têm acesso e sua delimitação deverá ser objeto de divergência entre juízes e tribunais, até a manifestação clara de uma corte superior sobre o tema.
O decreto também fornece uma definição de "tratamento de dados pessoais", caracterizando-o como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 14, II).
Fiscalização e transparência
O decreto prevê que a Anatel, a Secretaria Nacional do Consumidor e o Sistema Brasileiro de Defesa da Concorrência atuarão, de acordo com sua competência e natureza do tema tratado, na regulação, na fiscalização e na apuração de infrações praticadas pelos provedores de serviços de Internet (arts. 17 a 19). A apuração das infrações ao Marco Civil da Internet e ao decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado (art. 21).
A despeito das prováveis discussões nas esferas administrativa e judicial envolvendo as disposições introduzidas pelo Decreto – próprias de um diploma legal que, sem a necessária clareza, versa sobre tema em constante evolução - é certo que os provedores de conexão e de aplicações de Internet devem, desde logo, se adequarem às normas que passarão a valer em 30 dias, a fim de evitar a aplicação de sanções pelas autoridades competentes.
_____________
*Raphael de Cunto, André Zonaro Giacchetta, Ciro Torres Freitas e Beatriz Landi Laterza Figueiredo são sócios e associados do escritório Pinheiro Neto Advogados.
*Este artigo foi redigido meramente para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.
© 2016. Direitos Autorais reservados a PINHEIRO NETO ADVOGADOS