Publicações

Publications

« Voltar « Back
Alerta13.05.2016

Publicado Decreto que regulamenta o Marco Civil da Internet

Por:

Raphael de Cunto; André Zonaro Giacchetta; Ciro Torres Freitas; Beatriz Landi Laterza Figueiredo

Confira as as disposições introduzidas pelo Decreto

ImprimirVisualizar em PDF
Como parte do pacote de medidas que antecedeu a suspensão das funções da Presidente Dilma Rousseff pelo Congresso Nacional, foi publicado em edição extra do Diário Oficial da União, de 11 de maio de 2016, o Decreto nº 8.771, que regulamenta o Marco Civil da Internet (Lei nº 12.965/2014). O Decreto trata das hipóteses admitidas de discriminação de pacotes de dados na Internet e de degradação de tráfego, indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela Administração Pública e estabelece parâmetros para fiscalização e apuração de infrações.
 
Em 27 de janeiro de 2016 o Ministério da Justiça havia submetido uma minuta do texto do Decreto a consulta pública. Essa minuta já era resultado de um debate público realizado em ambiente digital durante o ano de 2015.
 
O texto final do Decreto, com alterações relevantes em relação à minuta submetida a consulta pública, entrará em vigor 30 dias após a sua publicação, e cria importantes obrigações para todos os provedores de conexão e de aplicações de Internet que operam no Brasil, independentemente de estarem sediados no País. Abaixo são descritas as disposições introduzidas pelo Decreto.
 
Neutralidade de rede​
 ​
De acordo com o Marco Civil da Internet, neutralidade de rede (garantia de tratamento isonômico a quaisquer pacotes de dados pelo responsável por sua transmissão) é a regra e a discriminação ou degradação do tráfego só é permitida em duas hipóteses excepcionais: requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações, ou priorização de serviços de emergência. Além disso, o Marco Civil da Internet estabelece que nas situações de degradação ou discriminação de tráfego permitidas, o responsável deve agir com proporcionalidade, isonomia, transparência, abstendo-se de causar dano aos usuários e de praticar condutas anti-concorrenciais.
 
O Decreto que regulamenta o Marco Civil trouxe uma lista específica e exaustiva do que seriam as hipóteses de exceção permitida à neutralidade de rede. De acordo com o art. 5º do Decreto, “requisitos técnicos indispensáveis à prestação do serviço” são: (i) o tratamento de questões de segurança, como restrição ao spam e controle de ataques de negação de serviços; e (ii) o tratamento de situações excepcionais de congestionamento de rede.
 
A Agência Nacional de Telecomunicações  Anatel ficou responsável pela fiscalização e apuração de infrações relacionadas às exceções à neutralidade de rede indicadas acima, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr.
 
Medidas de gerenciamento de rede, utilizando técnicas compatíveis com padrões internacionais, também são permitidas, desde que sejam observados parâmetros regulatórios expedidos pela Anatel e consideradas as diretrizes estabelecidas pelo CGIbr. As medidas de gerenciamento devem ser informadas com transparência, por exemplo, por meio de indicação nos contratos de prestação de serviços e nos sítios eletrônicos pertinentes.
 
Note-se que a minuta do Decreto originalmente colocada em consulta pública trazia outras previsões de hipóteses permitidas de discriminação ou degradação de tráfego, que eram bastante mais abrangentes e um pouco vagas e foram excluídas da redação final: gerenciamento de padrões mínimos de qualidade de rede e tratamento de questões imprescindíveis para a adequada fruição das aplicações, considerando a qualidade da experiência do usuário. Também foi excluído da redação final do Decreto, o dispositivo que permitia ao responsável pela transmissão dos dados adotar medidas de tratamento diferenciado para classes de aplicações distintas.
 
Com relação às exceções à neutralidade de rede decorrentes da priorização de serviços de emergência, o Decreto manteve praticamente o mesmo texto da sua minuta original, listando apenas as situações de comunicações destinadas aos prestadores de serviços de emergência ou necessárias para informar a população de situações de risco de desastre, emergência ou estado de calamidade pública, casos em que a transmissão dos dados deverá inclusive ser gratuita.
 
Por fim, foram expressamente proibidos acordos entre o responsável pela transmissão dos pacotes de dados e os provedores de aplicação que (i) priorizem pacotes de dados em razão de arranjos comerciais; (ii) privilegiem aplicações ofertadas pelo próprio responsável pela transmissão dos dados (ou por empresas do mesmo grupo econômico); ou (iii) que de outra forma comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, princípios e objetivos do uso da internet no País. A necessidade de avaliação desses acordos pelo órgão competente, que era prevista na minuta original do Decreto, foi excluída da redação final.
 
O Decreto não deixa claro se práticas como zero rating ou acesso patrocinado a aplicações de internet configuram ou não ofensa à neutralidade de rede. A oferta de fast lanes fica claramente proibida.
 
Proteção aos registros, dados pessoais e comunicações privadas de usuários da Internet
 
O Decreto esclarece que as autoridades administrativas autorizadas por lei a requisitarem dos provedores, independentemente de ordem judicial, dados cadastrais de usuários da Internet, devem, ao fazê-lo, indicar o fundamento legal de sua competência expressa para o acesso e a motivação para o pedido (art. 11, caput).
 
A indicação do fundamento legal da competência da autoridade administrativa para o requerimento de dados de identificação de usuários sem ordem judicial é muito benvinda, haja vista que, em inúmeros casos, as autoridades valem-se de disposições genéricas para justificar a suposta obrigatoriedade de fornecimento de dados de usuário sem ordem judicial, o que, como reconhecido, é situação excepcional dentro do Marco Civil da Internet (a regra é o fornecimento somente mediante a ordem judicial, nos termos do artigo 15).
 
Embora o Decreto não mencione expressamente, o texto do Marco Civil da Internet deixa claro que o acesso, por autoridades administrativas, a dados cadastrais de usuários da Internet, independentemente de ordem judicial, é autorizado somente “na forma da lei”, isto é, nas hipóteses em que as autoridades administrativas são expressamente autorizadas pela legislação a obter essas informações sem ordem judicial – o que se dá, atualmente, para fins de investigação de crimes de lavagem ou ocultação de bens, direitos e valores (artigos 17-B da Lei nº 9.613/1998) e de organização criminosa (15 da Lei nº 12.850/2013).
 
Conforme indicado no Decreto, são considerados dados cadastrais a filiação, o endereço e a qualificação pessoal do usuário, entendida como nome, prenome, estado civil e profissão (art. 11, § 2º). O provedor que não coletar esses dados deverá informar tal fato à autoridade solicitante ao receber uma requisição, ficando desobrigado de fornecê-los (art. 11, § 1º) e imune a sanções, haja vista que não existe obrigação legal de guarda dessas informações.
 
Igualmente importante a regulamentação pelo Decreto no sentido de que se os provedores não coletarem nome, qualificação pessoal e filiação, estarão desobrigados ao fornecimento dessas informações e, portanto, não poderá se falar em desobediência ou não cumprimento de requerimentos de autoridades administrativas e também judiciais.
 
O Decreto ainda deixa claro que as requisições devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos (art. 11, § 3º). Além disso, a autoridade máxima de cada órgão da Administração Pública Federal deverá publicar anualmente em seu site na Internet relatórios estatísticos de requisição de dados cadastrais (art. 12).
 
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas de usuários da Internet
 
O Decreto estabelece que os provedores de conexão e de aplicações de Internet devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas de usuários, observar as seguintes diretrizes sobre padrões de segurança (art. 13): 
  • o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
  • a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
  • a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado; e
  • o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
A implementação dessas medidas certamente demandará ajustes e investimentos por parte dos provedores, o que pode implicar, ao menos em um primeiro momento, reflexos de ordem técnica no funcionamento de seus serviços e maior onerosidade para os usuários. Críticas podem ser feitas, ainda, à necessidade e eficácia de algumas das medidas previstas no Decreto para o fim de assegurar a segurança dos dados de usuários da Internet.
 
Como aspecto positivo, o Decreto consagra como solução técnica plenamente revestida de legalidade a encriptação – medida que, embora despertando intensos debates jurídicos em países como os Estados Unidos pelo fato de ser vista por algumas autoridades como obstáculo para a investigação de crimes, é capaz de assegurar a inviolabilidade dos dados de usuários da Internet, um dos pilares centrais do Marco Civil da Internet.
 
Ainda com o propósito de assegurar a privacidade de usuários da Internet, o Decreto prevê que os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos ao ser atingida a finalidade de seu uso ou se encerrado o prazo determinado por obrigação legal (art. 13, § 2º).
 
É evidente que em relação a serviços que têm como pressuposto e objetivo do próprio usuário a utilização de seus dados pessoais, como as redes sociais, a finalidade de uso dessas informações se faz presente, ao menos, durante todo o período em que o serviço é utilizado. Nesses casos, enquanto houver a relação entre o usuário e o provedor, este não tem a obrigação de excluir os respectivos dados pessoais por força do quanto previsto no Decreto.
 
O Decreto define como “dado pessoal” qualquer “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (art. 14, I). Além de extremamente ampla, por abranger qualquer informação relacionada ao usuário, desde que identificado ou identificável, essa definição não deixa claro se o endereço IP (internet protocol) caracteriza-se ou não como dado pessoal.
 
Por sua amplitude e falta de clareza, a definição de “dado pessoal” prevista no Decreto certamente causará incerteza entre os provedores quanto ao tratamento a ser dispensado aos diversos tipos de informações de usuários a que têm acesso e sua delimitação deverá ser objeto de divergência entre juízes e tribunais, até a manifestação clara de uma corte superior sobre o tema.
 
O Decreto também fornece uma definição de “tratamento de dados pessoais”, caracterizando-o como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 14, II).
 
Fiscalização e transparência
 
O Decreto prevê que a Anatel, a Secretaria Nacional do Consumidor e o Sistema Brasileiro de Defesa da Concorrência atuarão, de acordo com sua competência e natureza do tema tratado, na regulação, na fiscalização e na apuração de infrações praticadas pelos provedores de serviços de Internet (arts. 17 a 19). A apuração das infrações ao Marco Civil da Internet e ao Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado (art. 21).
 
A despeito das prováveis discussões nas esferas administrativa e judicial envolvendo as disposições introduzidas pelo Decreto – próprias de um diploma legal que, sem a necessária clareza, versa sobre tema em constante evolução - é certo que os provedores de conexão e de aplicações de Internet devem, desde logo, se adequarem às normas que passarão a valer em 30 dias, a fim de evitar a aplicação de sanções pelas autoridades competentes.
Download do documentoCompartilhar:
Faça parte do nosso mailing Join our mailing list Receba em primeira mão publicações
e comunicados do escritório
Keep current with our
latest news and events

São PauloRua Hungria, 1100. 
01455-906
Tel: +55 (11) 3247-8400
Fax: +55 (11) 3247-8600ver mapasee map

Rio de JaneiroRua Humaitá, 275 - 16º andar. 
22261-005
Tel: +55 (21) 2506-1600
Fax: +55 (21) 2506-1660ver mapasee map

BrasíliaSAFS, Qd. 2, Bloco B
Ed. Via Office 3º andar.
70070-600
Tel: +55 (61) 3312-9400
Fax: +55 (61) 3312-9444ver mapasee map

Palo Alto228 Hamilton Avenue, 3rd floor
CA 94301 USA
Tel: +1 650-798-5068ver mapasee map

Termos de Uso
Política de Privacidade