13 May Marco Civil da Internet: principais efeitos do Decreto 8.771 assinado em 11 de maio de 2016.
Em meio a turbulências políticas no Governo Federal, a presidente Dilma Rousseff editou o Decreto nº 8.771 de 2016 que regulamentou pontos específicos da lei nº 12.965 de 2014, o Marco Civil da Internet, quais sejam: (i) Neutralidade da Rede; (ii) Guarda dos registros e Proteção de Dados Pessoais; (iii) Apuração de infrações às disposições do Marco Civil. Em ordem, e de modo bastante prático, temos as seguintes considerações do Decreto: – Neutralidade da Rede Ainda que possa causar dúvida na interpretação, o artigo 2º do Decreto fixa de modo técnico que o só se aplica a conexões e serviços baseados em internet. Linhas privadas de dados e outras modalidades de conexão em rede via TCP/IP que não sejam abertas ou utilizem a infraestrutura pública, não estarão sujeitas aos termos nele previstos. A neutralidade da rede é regra e degradação, a exceção. Tal qual já previa o artigo 9º do Marco Civil, a degradação ou privilégio de pacotes somente é admitida em casos de emergência ou quando houver necessidade de tal medida para assegurar a prestação adequada dos serviços prestados pelo provedor de conexão ou aplicação. Com o Decreto, tais aspectos ficaram mais sensíveis. O artigo 5º do édito esclarece a semântica da prestação adequada, definindo-a como manutenção da estabilidade, segurança, integridade e funcionalidade (disponibilidade), tendo como exemplos de aplicação da degradação em seu inciso I o combate a envio de e-mails de massa (spam) e controle de ataques de negação de serviço. Nestes particulares, certamente a degradação de pacotes não deve ser o contorno mais eficiente, mas, se compreendeu a intenção da norma jurídica. Ademais, seu inciso II prevê adequadamente a aplicação de rotas alternativas para os pacotes de internet em caso de congestionamento ou interrupção da rota principal. Sim, os pacotes de dados na internet seguem por caminhos convencionados pelos grandes roteadores que se interligam e das rotas podem ocorrer percalços. Também nesta hipótese não há degradação ou privilégio de pacotes, mas, direcionamento de rota destes, o que é bem diferente, ainda que seja praticado na camada de estrutura da rede. Todavia, as situações de privilégio de pacotes para emergência indicadas fazem total sentido e tem plena aplicabilidade, especialmente na previsão expressa do artigo 8º: sempre que o acesso visa prestadores de serviço desta natureza ou entre instituições de tal essência, aludindo à regulamentação em vigor da Anatel. De acordo com descritivo da própria Agência, os serviços emergenciais estão indicados pelas chamadas telefônicas à Polícia, Bombeiros, Resgate, Defesa Civil, Secretaria de Direitos Humanos e Delegacias de Proteção à Mulher, dentre outros. Traçando raciocínio na mesma direção, vemos duas consequências imediatas reguladas pelo Decreto: a primeira, chamadas de voz sobre IP com tais destinações e a segunda com a interligação direta de dispositivos entre tais órgãos. Spoiler do capítulo da Internet das Coisas no Brasil, por certo. Temos também que o privilégio de pacotes em caso de emergência se estende para informar a população de situação de calamidade pública. Catástrofes, desastres, guerra, estado de sítio, etc. Entretanto, o parágrafo único do artigo 8º é enigmático:
“A transmissão de dados nos casos elencados neste artigo será gratuita.”
A compreensão deste parágrafo fica prejudicada, à medida que a transmissão de dados depende da infraestrutura pública de telecomunicações combinada com o serviço de internet e, salvo melhor juízo e busca mais cuidadosa de prestadores de serviço, ambos não são gratuitos, por excelência. Ainda que exista o plano nacional de banda larga, em que o acesso previsto será gratuito na integralidade, a aplicação prática deste comando legal parece bastante longe da realidade. Mas, se admite interpretação de que dados transmitidos com tal caráter urgente não sejam debitados de eventual imposição de limites para tráfego de dados. Terá sido essa a real intenção do texto?
Finalizando o tópico de neutralidade, o artigo 9º veda relacionamento entre provedor de conexão e aplicação que (I) comprometam o caráter público e irrestrito da rede, tais quais seus fundamentos, princípios e objetivos já fixados no Marco Civil; (II) priorizem pacotes de dados por acordo comercial ou (III) privilegiem aplicações ofertadas pelo próprio prestador de conexão ou que pertença ao mesmo grupo econômico.
É impossível dissociar a reflexão sobre a chamada zero rating[1] do referido artigo e, à primeira impressão, é possível que se interprete que a era da utilização de aplicações sem consumir banda de dados chegou ao fim, mas, não é exatamente isso.
Priorização e degradação de pacotes são ações que estão vinculadas à interferência na manipulação da menor porção de dados compreensível na arquitetura TCP/IP para envio e recebimento mais ágil de dados conforme a natureza ou sua otimização. Nos escritos do artigo 9º do Marco Civil:
“O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação”.
Então, temos que, se os pacotes são tratados de maneira equânime pelo provedor de conexão, o zero rating não está vedado pelos incisos I e II do artigo 9º do Decreto, mas, o inciso III gera necessidade de reflexão, ao passo que o privilégio não está limitado aos pacotes de dados. Neste comando legal há abrangência mais extensa do que o próprio Marco Civil admite, a princípio.
Mas, há condicionantes relevantes que podem levar ao afastamento da proibição: que a aplicação pertença ao próprio provedor de conexão ou que pertença ao mesmo grupo econômico. Caso nenhuma das hipóteses se verifique, o privilégio da aplicação não estará vedado conforme o texto do Decreto.
– Guarda dos registros e Proteção de Dados Pessoais
A regulamentação da guarda de registros de conexão e aplicação de internet se inicia com comando legal de natureza desafiadora: o provedor que não coletar dados cadastrais pode alegar tal informação à autoridade que os solicitar que ficará desobrigado a fornecê-los. Assim considerados filiação, endereço, nome, prenome, estado civil e profissão.
O Decreto não se referiu especificamente aos provedores de aplicação, o que gera insegurança jurídica, à medida que se abre margem a algum usuário contratar conexão à internet e não apresentar sequer o nome, dando respaldo para anonimato indiscriminado na rede, o que é vedado pela Constituição Federal[2] e fere obrigações da própria Anatel com as operadoras: de SCM[3], Resolução nº 614 de 2013, artigo 53; e de SMP[4], Resolução nº 477 de 2007, artigo 10º, XXII.
Em contrapartida, a norma do artigo 12 que prevê a elaboração de relatórios para requisição de dados é relevante para se calcular o número de incidentes cometidos na rede mundial envolvendo usuários brasileiros e como a atuação de provedores de aplicação e conexão pode contribuir para tornar o ambiente mais confiável para seus usuários, seja para proteção da privacidade quanto da coibição de atos ilícitos.
Verificando os termos do artigo 13, que trata dos controles de segurança a serem aplicados na guarda, armazenamento e tratamento de dados pessoais, temos que a redação foi bastante tímida, obrigando que os provedores “observem” as diretrizes, em contraposição de adotar ou implementar, em que efetivamente estaria se impondo dever legal de execução dos referidos controles.
A necessidade de controle de acesso, dupla autenticação, inventário de registros de auditoria de quem acessou o dado ou informação e uso de criptografia são algumas das práticas previstas em normas internacionais de segurança da informação para referência, mas, era preciso mais.
O nível de governança de tecnologia da informação nas empresas brasileiras vai de ruim a péssimo. A ausência de Políticas e Normas de Segurança da Informação e controles específicos em observância à legislação em vigor é sintomático e sinônimo de custo e não como prática de conformidade e pré-requisito para exercício de atividade econômica.
Percebe-se grande oportunidade perdida de projetar algo mais concreto e direcionador para aumentar a segurança e governança de tecnologia da informação nos provedores pelo governo, com controles mais detalhados e efetivamente obrigando a implementação destes, como qualquer controle de qualidade já existente em outras indústrias (alimentos, brinquedos, etc.), e não somente sua observação. Cruzes!
Diante da inércia do anteprojeto de proteção de dados pessoais, o Decreto teve postura desafiadora ao inceptar os princípios da necessidade e utilidade dos dados em nosso Ordenamento Jurídico, em que há a ideia de que menos é mais, ou seja, quando determinados dados não sejam mais necessários ou úteis, devem ser descartados, além do esgotamento do prazo legal de guarda.
Não menos vanguardista foi a definição de dados pessoais e de seu tratamento, cujos efeitos na combinação com o artigo 7º, inciso VIII, gera obrigações imediatas aos provedores de aplicação, sobretudo devendo fornecer dados em texto claro e organizado, isto é, não é possível fornecer dados criptografados, desarranjados ou amontoados, conforme o artigo 15 do Decreto.
A parte dispositiva se encerra com o dever de os provedores de conexão e aplicação apresentarem a qualquer interessado os padrões de segurança adotados, preferencialmente nas páginas da internet e resguardando seus segredos de negócio.
– Infrações ao disposto no Marco Civil
Por fim, o já esperado. O Decreto atribuiu as competências para julgamento das infrações do Marco Civil da Internet conforme a natureza jurídica do ato ilícito pelo princípio da especialidade: a Anatel regulamentará a fiscalização de infrações de telecomunicações, lei nº 9.472 de 1997 e as julgará; a Secretaria Nacional do Consumidor (antigo DPDC) fiscalizará e julgará as infrações contra os direitos do consumidor; o Sistema Brasileiro de Defesa da Concorrência julgará infrações à ordem econômica e concorrencial.
O balanço geral do Decreto é positivo, mas, possui pontos bastante delicados, sobretudo do não dever de guarda de dados pessoais pelos provedores, que gera choque de normas.
Denota-se que o texto do Decreto enaltece o relevante papel do Comitê Gestor da Internet e da Anatel na curadoria da internet no Brasil, tanto pelo aspecto de infraestrutura, arquitetura e obrigações aos prestadores de serviço e demais envolvidos, quanto pelos direitos e garantias dos usuários, o que é indispensável.
No entanto, percebemos condução contraditória na governança de internet no Brasil pelos entes acima elencados, o que não deveria ocorrer.
A internet nasceu livre, aberta e inclusiva, características marcantes e de identidade do próprio Marco Civil que devem ser perpetuados, sobretudo em homenagem à carga democrática que recebeu durante sua formação, debates e entrada em vigor.
Então, qualquer medida restritiva, limitadora e excludente fica aquém dos anseios que a própria população que contribuiu para sua gênese escolheu, o que fere a própria democracia.
[1] Uso de aplicação sem débito de franquia de dados. [2] Artigo 5º, inciso IV. [3] Serviço de Comunicação Multimídia, vulgo acesso de banda larga. [4] Serviço Móvel Pessoal, vulgo telefonia celular.