No último dia 11 de maio de 2016, foi publicado no Diário Oficial da União o Decreto nº 8.771, de maio de 2016, que regulamenta o Marco Civil da Internet. A lei, sancionada em abril de 2014,
estabelece princípios, garantias, direitos e deveres para o uso da
Internet no Brasil, abordando temas como liberdade de expressão na rede,
responsabilidade de provedores (de conexão e de aplicações de Internet)
e neutralidade.
Efetivamente, a grande maioria das disposições do Marco Civil já
tinha aplicação imediata, independentemente de qualquer regulamentação.
Assim, centenas de processos judiciais foram propostos desde 2014, com
base na lei, visando a obrigar provedores a indicarem os autores de
fraudes ocorridas na Internet, ou mesmo para que promovessem a exclusão
de conteúdos potencialmente ilícitos ou ofensivos. Apesar de ter
contribuído para sobrecarregar ainda mais o judiciário, essa sistemática
em geral tem funcionado a contento, mediante o célere cumprimento dos
requerimentos baseados no Marco Civil, até mesmo para evitar a aplicação
das multas diárias usualmente fixadas em Juízo nesses casos.
Porém, alguns artigos dependiam de posterior regulamentação ou
suscitavam dúvidas, fazendo com que muitas empresas adiassem os
investimentos em compliance até que esses novos parâmetros
regulatórios fossem detalhados. Assim, por exemplo, no que se refere à
obrigação de guarda de registros de conexão e de acesso a aplicações de
Internet (dever este imposto até mesmo para empresas titulares de um
mero site no qual seja operada alguma funcionalidade na Internet), não
se sabia, ao certo, como os dados deveriam ser guardados, quais os
padrões mínimos de segurança da informação ou de controle de acesso que
deveriam ser implementados, se os dados precisariam ser apagados após o
prazo legal ou se poderiam ser armazenados indefinidamente, etc.
Além disso, no que se refere às penalidades pelo descumprimento
dessas obrigações, não se sabia qual seria a autoridade competente para
aplicá-las. Também, restava para a regulamentação abordar as exceções à
regra da neutralidade da Internet, ou seja a obrigação de tratar de
forma isonômica quaisquer pacotes de dados, sem privilegiar uma ou outra
aplicação.
O Decreto nº 8.771,
ao longo de quatro enxutos capítulos e vinte e dois artigos, detalhou
especialmente a discriminação de pacotes de dados na Internet e de
degradação de tráfego, os procedimentos para guarda e proteção de dados,
as medidas de transparência na requisição de dados e os parâmetros para
fiscalização e apuração de infrações.
Agora, com o ambiente regulatório devidamente estabelecido, resta às empresas implementarem as respectivas medidas de compliance,
atendendo aos novos parâmetros fiscalizatórios para agentes da
Administração Pública e para o Judiciário. Abaixo, destacamos alguns dos
principais pontos da Regulamentação do Marco Civil e as iniciativas
necessárias para a devida adequação e a prevenção de multas ou ordens de
suspensão/interrupção de serviços.
ABRANGÊNCIA DO MARCO CIVIL
Logo em seus primeiros artigos, o Decreto expõe a quem ele se dirige:
responsáveis pela transmissão, pela comutação ou pelo roteamento e aos
provedores de conexão e de aplicações de internet. Não foram englobados
os “serviços de telecomunicações” que não se destinam ao provimento de
conexão à internet, bem como os “serviços especializados” – que não
configurem substituto à internet e sejam destinados a grupos específicos
de usuários com controle estrito de admissão.
Justamente neste ponto, a regulamentação traz insegurança ao afirmar
não ser aplicável a “serviços especializados”, ainda que utilizem
protocolos TCP/IP ou equivalentes, “desde que não se confundam, em
termos de funcionalidade, com o caráter público e irrestrito da
Internet”. Na prática, o que estaria sendo excluído do âmbito do Marco
Civil de acordo com essa exceção? Apenas ferramentas privadas,
usualmente utilizadas por empresas para fins administrativos, mediante
senha? Ou seria possível entender que também configurariam “serviços
especializados”, excluídos do Marco Civil, até mesmo recursos como o
Skype? Uma interpretação ampla dessa exceção, certamente impediria a
utilização do Marco Civil para a apuração fraudes ou atos ilícitos em
canais bastante populares, o que nos causa preocupação.
NEUTRALIDADE
As exceções à neutralidade trazidas no Decreto autorizam a
priorização de serviços de emergência e em caso de risco de desastre
(naturalmente compreensível), mas também para o atendimento a
“requisitos técnicos”, evitar o “congestionamento de redes”, ou até
mesmo para assegurar sua “estabilidade, segurança, integridade e
funcionalidade”. É bem verdade que o texto anteriormente submetido a
consulta pública trazia hipóteses ainda mais amplas e genéricas, porém é
justificada a preocupação no sentido de que essas exceções possam
permitir demasiada discriminação de pacotes de dados, atenuando a
eficácia da tão festejada neutralidade.
De qualquer modo, o Decreto exige a adoção de “medidas de
transparência” para explicitar ao usuário os motivos do gerenciamento
que importe em degradação ou discriminação excepcional do trafego.
De outro lado, o novo art. 9º, do Decreto veda a estratégia do chamado “zero rating”, frequentemente utilizada por provedores de conexão para ofertar acessos gratuitos
a determinados aplicativos, em prejuízo de outros. A partir de agora,
passa a ser expressamente proibido empreender condutas unilaterais que
“priorizem pacotes de dados em razão de arranjos comerciais”.
A medida demanda revisão de modelos comerciais e, a nosso ver, é bem-vinda, eis que o zero-rating configurava vantagem concorrencial artificial, dificultando injustamente a entrada de novos competidores mediante soluções concorrentes, em prejuízo da inovação.
ACESSO DIRETO A DADOS POR AUTORIDADES
Cabia à regulamentação, ainda, detalhar a forma mediante a qual seria
permitido o acesso a dados cadastrais dos usuários, sem a necessidade
de ordem judicial. Porém, a regulamentação não explicita quais são as
autoridades autorizadas ou se o usuário deve ou não ser informado sobre a
solicitação dos seus dados.
O tema é extremamente sensível para o resguardo da privacidade dos
usuários da Internet, como indica o embate recente, nos Estados Unidos,
entre a Apple e o FBI. Na medida em que o Marco Civil autorizou o acesso
a dados cadastrais por autoridades administrativas, o ideal seria que a
regulamentação detalhasse de forma mais específica essa hipótese
excepcional de requisição de dados sem ordem judicial, sem deixar espaço
para abusos.
PADRÃO DE GUARDA DE DADOS
Neste ponto, a regulamentação acertou ao exigir que as empresas
passem a adotar efetiva política de governança da informação incluindo:
controle de acesso aos dados; mecanismos de autenticação; inventário de
quem teve acesso aos dados; criptografia e medidas tecnológicas para
assegurar a integridade dos dados; e separação de bancos de dados
comerciais. Essas exigências valem tanto para provedores de conexão,
quanto para empresas que possuem uma mera aplicação de Internet, ou
seja, um site com funcionalidades. O detalhamento dos procedimentos e
padrões técnicos exigidos foi delegado ao Comitê Gestor da Internet
(CGI).
Ainda, o Decreto estabelece o princípio da não-retenção de dados,
incluindo-se os obrigatórios registros de conexão e de acesso a
aplicações, mas, também, dados cadastrais, dados sensíveis e
comunicações privadas. Conforme consta de forma expressa no seu artigo
13, “os provedores de conexão e aplicações devem reter a menor
quantidade possível de dados pessoais, comunicações privadas e registros
de conexão e acesso a aplicações”. Mais: foi esclarecido que, tão logo
atingido o prazo legal de guarda ou a finalidade para os quais foram
coletados, deverão os mesmos ser imediatamente excluídos, em nome do
princípio da não retenção. Porém, se de um lado foi privilegiada a
privacidade dos usuários, de outro essa opção legislativa demandará ação
rápida por parte das vítimas de fraudes ou crimes digitais.
Além de sanar a controvérsia sobre “o que” e “até quando” deve ser
objeto de guarda pelos provedores, o Decreto esmiúça, inclusive, que
dados guardados deverão ser mantidos em formato interoperável e
estruturado. Essa determinação é relevante, pois muitas vezes as
informações trazidas por provedores em processos judiciais não atendem à
clareza necessária para a apuração de responsabilidades.
Por fim, a opção não detalhar os requisitos específicos de segurança
no armazenamento de dados, remetendo-se a matéria a normativas do CGI, é
salutar, eis que permite atualização mais ágil de parâmetros que estão
em constante evolução.
FISCALIZAÇÃO
A regulamentação do Marco Civil atribuiu a fiscalização do seu
cumprimento a três diferentes autoridades: a SNC (Secretaria Nacional do
Consumidor), para a fiscalização e apuração de infrações nos termos do
Código de Defesa do Consumidor; o SBDC (Sistema Brasileiro de Defesa da
Concorrência), para a apuração de infrações à ordem econômica; e a
Anatel (Agência Nacional de Telecomunicações), para a fiscalização e
apuração de infrações referentes à proteção de registros de conexão.
Em que pese seja louvável essa divisão especializada de
responsabilidades, não ficou claro o suficiente se a competência da SNC
se refere apenas a situações de consumo (como seria natural), o que, se
for o caso, deixaria um vácuo quanto à autoridade competente para
fiscalizar a guarda de dados de usuários em outras circunstâncias, em
que um consumidor – destinatário final de bens ou serviços – não se faça
presente. Essa é a hipótese, por exemplo, de aplicações de Internet
utilizadas por empresas para a execução das suas atividades.
PENALIDADES: TEMA AINDA INDEFINIDO
Em que pese a competência pela fiscalização esteja relativamente
equacionada, um preocupante ponto cego do Decreto é a ausência de
detalhamento acerca da forma de aplicação das penalidades previstas no
Marco Civil. Não foram esclarecidos os critérios para quantificação da
multa pecuniária, por exemplo, que pode chegar a 10% do faturamento
bruto do grupo econômico no ano imediatamente anterior. Da mesma forma, o
Decreto não informa em que hipóteses se aplicariam as demais
penalidades, que, em tese, poderiam incluir ordem de suspensão do
serviço ilícito. Lacunas legislativas implicam em incertezas,
insegurança jurídica e no risco da adoção de critérios desproporcionais
em diferentes decisões judiciais, como se viu na recente ordem de
bloqueio do Whats’App.
Rodrigo Azevedo / Maurício Brum Esteves
* Texto originalmente publicado no site propriedade.digital, reeditado em coautoria para fins de atualização ao novo regulamento.
Nenhum comentário:
Postar um comentário