do documento - Pinheiro Neto Advogados

Publicado Decreto que
regulamenta o Marco Civil
da Internet
Autores
• Raphael de Cunto
• André Zonaro Giacchetta
• Ciro Torres Freitas
• Beatriz Landi Laterza Figueiredo
Sócios e Associados de Pinheiro Neto Advogados
Como parte do pacote de medidas que antecedeu a suspensão das funções da
Presidente Dilma Rousseff pelo Congresso Nacional, foi publicado em edição
extra do Diário Oficial da União, de 11 de maio de 2016, o Decreto nº 8.771, que
regulamenta o Marco Civil da Internet (Lei nº 12.965/2014). O Decreto trata das
hipóteses admitidas de discriminação de pacotes de dados na Internet e de
degradação de tráfego, indica procedimentos para guarda e proteção de dados
por provedores de conexão e de aplicações, aponta medidas de transparência na
requisição de dados cadastrais pela Administração Pública e estabelece
parâmetros para fiscalização e apuração de infrações.
Em 27 de janeiro de 2016 o Ministério da Justiça havia submetido uma minuta
do texto do Decreto a consulta pública. Essa minuta já era resultado de um
debate público realizado em ambiente digital durante o ano de 2015.
O texto final do Decreto, com alterações relevantes em relação à minuta
submetida a consulta pública, entrará em vigor 30 dias após a sua publicação, e
cria importantes obrigações para todos os provedores de conexão e de
aplicações de Internet que operam no Brasil, independentemente de estarem
sediados no País. Abaixo são descritas as disposições introduzidas pelo Decreto.
Neutralidade de rede
De acordo com o Marco Civil da Internet, neutralidade de rede (garantia de
tratamento isonômico a quaisquer pacotes de dados pelo responsável por sua
transmissão) é a regra e a discriminação ou degradação do tráfego só é
permitida em duas hipóteses excepcionais: requisitos técnicos indispensáveis à
prestação adequada dos serviços e aplicações, ou priorização de serviços de
emergência. Além disso, o Marco Civil da Internet estabelece que nas situações
de degradação ou discriminação de tráfego permitidas, o responsável deve agir
Este artigo foi redigido meramente para fins de informação e debate, não devendo ser considerado opinião
legal para qualquer operação ou negócio específico..
com proporcionalidade, isonomia, transparência, abstendo-se de causar dano
aos usuários e de praticar condutas anti-concorrenciais.
O Decreto que regulamenta o Marco Civil trouxe uma lista específica e exaustiva
do que seriam as hipóteses de exceção permitida à neutralidade de rede. De
acordo com o art. 5º do Decreto, “requisitos técnicos indispensáveis à prestação
do serviço” são: (i) o tratamento de questões de segurança, como restrição ao
spam e controle de ataques de negação de serviços; e (ii) o tratamento de
situações excepcionais de congestionamento de rede.
A Agência Nacional de Telecomunicações
Anatel ficou responsável pela
fiscalização e apuração de infrações relacionadas às exceções à neutralidade de
rede indicadas acima, consideradas as diretrizes estabelecidas pelo Comitê
Gestor da Internet - CGIbr.
Medidas de gerenciamento de rede, utilizando técnicas compatíveis com padrões
internacionais, também são permitidas, desde que sejam observados parâmetros
regulatórios expedidos pela Anatel e consideradas as diretrizes estabelecidas
pelo CGIbr. As medidas de gerenciamento devem ser informadas com
transparência, por exemplo, por meio de indicação nos contratos de prestação
de serviços e nos sítios eletrônicos pertinentes.
Note-se que a minuta do Decreto originalmente colocada em consulta pública
trazia outras previsões de hipóteses permitidas de discriminação ou degradação
de tráfego, que eram bastante mais abrangentes e um pouco vagas e foram
excluídas da redação final: gerenciamento de padrões mínimos de qualidade de
rede e tratamento de questões imprescindíveis para a adequada fruição das
aplicações, considerando a qualidade da experiência do usuário. Também foi
excluído da redação final do Decreto, o dispositivo que permitia ao responsável
pela transmissão dos dados adotar medidas de tratamento diferenciado para
classes de aplicações distintas.
Com relação às exceções à neutralidade de rede decorrentes da priorização de
serviços de emergência, o Decreto manteve praticamente o mesmo texto da sua
minuta original, listando apenas as situações de comunicações destinadas aos
prestadores de serviços de emergência ou necessárias para informar a população
de situações de risco de desastre, emergência ou estado de calamidade pública,
casos em que a transmissão dos dados deverá inclusive ser gratuita.
Por fim, foram expressamente proibidos acordos entre o responsável pela
transmissão dos pacotes de dados e os provedores de aplicação que (i) priorizem
pacotes de dados em razão de arranjos comerciais; (ii) privilegiem aplicações
ofertadas pelo próprio responsável pela transmissão dos dados (ou por empresas
-2-
do mesmo grupo econômico); ou (iii) que de outra forma comprometam o
caráter público e irrestrito do acesso à internet e os fundamentos, princípios e
objetivos do uso da internet no País. A necessidade de avaliação desses acordos
pelo órgão competente, que era prevista na minuta original do Decreto, foi
excluída da redação final.
O Decreto não deixa claro se práticas como zero rating ou acesso patrocinado a
aplicações de internet configuram ou não ofensa à neutralidade de rede. A oferta
de fast lanes fica claramente proibida.
Proteção aos registros, dados pessoais e comunicações privadas de
usuários da Internet
O Decreto esclarece que as autoridades administrativas autorizadas por lei a
requisitarem dos provedores, independentemente de ordem judicial, dados
cadastrais de usuários da Internet, devem, ao fazê-lo, indicar o fundamento
legal de sua competência expressa para o acesso e a motivação para o pedido
(art. 11, caput).
A indicação do fundamento legal da competência da autoridade administrativa
para o requerimento de dados de identificação de usuários sem ordem judicial é
muito benvinda, haja vista que, em inúmeros casos, as autoridades valem-se de
disposições genéricas para justificar a suposta obrigatoriedade de fornecimento
de dados de usuário sem ordem judicial, o que, como reconhecido, é situação
excepcional dentro do Marco Civil da Internet (a regra é o fornecimento somente
mediante a ordem judicial, nos termos do artigo 15).
Embora o Decreto não mencione expressamente, o texto do Marco Civil da
Internet deixa claro que o acesso, por autoridades administrativas, a dados
cadastrais de usuários da Internet, independentemente de ordem judicial, é
autorizado somente “na forma da lei”, isto é, nas hipóteses em que as
autoridades administrativas são expressamente autorizadas pela legislação a
obter essas informações sem ordem judicial – o que se dá, atualmente, para fins
de investigação de crimes de lavagem ou ocultação de bens, direitos e valores
(artigos 17-B da Lei nº 9.613/1998) e de organização criminosa (15 da Lei nº
12.850/2013).
Conforme indicado no Decreto, são considerados dados cadastrais a filiação, o
endereço e a qualificação pessoal do usuário, entendida como nome, prenome,
estado civil e profissão (art. 11, § 2º). O provedor que não coletar esses dados
deverá informar tal fato à autoridade solicitante ao receber uma requisição,
ficando desobrigado de fornecê-los (art. 11, § 1º) e imune a sanções, haja vista
que não existe obrigação legal de guarda dessas informações.
-3-
Igualmente importante a regulamentação pelo Decreto no sentido de que se os
provedores não coletarem nome, qualificação pessoal e filiação, estarão
desobrigados ao fornecimento dessas informações e, portanto, não poderá se
falar em desobediência ou não cumprimento de requerimentos de autoridades
administrativas e também judiciais.
O Decreto ainda deixa claro que as requisições devem especificar os indivíduos
cujos dados estão sendo requeridos e as informações desejadas, sendo vedados
pedidos coletivos que sejam genéricos ou inespecíficos (art. 11, § 3º). Além
disso, a autoridade máxima de cada órgão da Administração Pública Federal
deverá publicar anualmente em seu site na Internet relatórios estatísticos de
requisição de dados cadastrais (art. 12).
Padrões de segurança e sigilo dos registros,
comunicações privadas de usuários da Internet
dados
pessoais
e
O Decreto estabelece que os provedores de conexão e de aplicações de Internet
devem, na guarda, armazenamento e tratamento de dados pessoais e
comunicações privadas de usuários, observar as seguintes diretrizes sobre
padrões de segurança (art. 13):

o estabelecimento de controle estrito sobre o acesso aos dados mediante
a definição de responsabilidades das pessoas que terão possibilidade de
acesso e de privilégios de acesso exclusivo para determinados usuários;

a previsão de mecanismos de autenticação de acesso aos registros,
usando, por exemplo, sistemas de autenticação dupla para assegurar a
individualização do responsável pelo tratamento dos registros;

a criação de inventário detalhado dos acessos aos registros de conexão e
de acesso a aplicações, contendo o momento, a duração, a identidade do
funcionário ou do responsável pelo acesso designado pela empresa e o
arquivo acessado; e

o uso de soluções de gestão dos registros por meio de técnicas que
garantam a inviolabilidade dos dados, como encriptação ou medidas de
proteção equivalentes.
A implementação dessas medidas certamente demandará ajustes e
investimentos por parte dos provedores, o que pode implicar, ao menos em um
primeiro momento, reflexos de ordem técnica no funcionamento de seus serviços
e maior onerosidade para os usuários. Críticas podem ser feitas, ainda, à
-4-
necessidade e eficácia de algumas das medidas previstas no Decreto para o fim
de assegurar a segurança dos dados de usuários da Internet.
Como aspecto positivo, o Decreto consagra como solução técnica plenamente
revestida de legalidade a encriptação – medida que, embora despertando
intensos debates jurídicos em países como os Estados Unidos pelo fato de ser
vista por algumas autoridades como obstáculo para a investigação de crimes, é
capaz de assegurar a inviolabilidade dos dados de usuários da Internet, um dos
pilares centrais do Marco Civil da Internet.
Ainda com o propósito de assegurar a privacidade de usuários da Internet, o
Decreto prevê que os provedores de conexão e aplicações devem reter a menor
quantidade possível de dados pessoais, comunicações privadas e registros de
conexão e acesso a aplicações, os quais deverão ser excluídos ao ser atingida a
finalidade de seu uso ou se encerrado o prazo determinado por obrigação legal
(art. 13, § 2º).
É evidente que em relação a serviços que têm como pressuposto e objetivo do
próprio usuário a utilização de seus dados pessoais, como as redes sociais, a
finalidade de uso dessas informações se faz presente, ao menos, durante todo o
período em que o serviço é utilizado. Nesses casos, enquanto houver a relação
entre o usuário e o provedor, este não tem a obrigação de excluir os respectivos
dados pessoais por força do quanto previsto no Decreto.
O Decreto define como “dado pessoal” qualquer “dado relacionado à pessoa
natural identificada ou identificável, inclusive números identificativos, dados
locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a
uma pessoa” (art. 14, I). Além de extremamente ampla, por abranger qualquer
informação relacionada ao usuário, desde que identificado ou identificável, essa
definição não deixa claro se o endereço IP (internet protocol) caracteriza-se ou
não como dado pessoal.
Por sua amplitude e falta de clareza, a definição de “dado pessoal” prevista no
Decreto certamente causará incerteza entre os provedores quanto ao tratamento
a ser dispensado aos diversos tipos de informações de usuários a que têm
acesso e sua delimitação deverá ser objeto de divergência entre juízes e
tribunais, até a manifestação clara de uma corte superior sobre o tema.
O Decreto também fornece uma definição de “tratamento de dados pessoais”,
caracterizando-o como “toda operação realizada com dados pessoais, como as
que se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução,
transmissão,
distribuição,
processamento,
arquivamento,
-5-
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração” (art. 14, II).
Fiscalização e transparência
O Decreto prevê que a Anatel, a Secretaria Nacional do Consumidor e o Sistema
Brasileiro de Defesa da Concorrência atuarão, de acordo com sua competência e
natureza do tema tratado, na regulação, na fiscalização e na apuração de
infrações praticadas pelos provedores de serviços de Internet (arts. 17 a 19). A
apuração das infrações ao Marco Civil da Internet e ao Decreto atenderá aos
procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser
iniciada de ofício ou mediante requerimento de qualquer interessado (art. 21).
A despeito das prováveis discussões nas esferas administrativa e judicial
envolvendo as disposições introduzidas pelo Decreto – próprias de um diploma
legal que, sem a necessária clareza, versa sobre tema em constante evolução - é
certo que os provedores de conexão e de aplicações de Internet devem, desde
logo, se adequarem às normas que passarão a valer em 30 dias, a fim de evitar
a aplicação de sanções pelas autoridades competentes.
São Paulo, 13 de maio de 2016.
***
-6-