Leia na Fonte: CanalTech
[27/06/16]  8 coisas que você precisa saber sobre a regulamentação do Marco Civil - por Helio Ferreira Moraes

Helio Ferreira Moraes é advogado e engenheiro eletrônico formado pela USP

O Marco Civil da Internet trouxe avanços para as relações entre usuários e serviços online. No entanto, vários pontos ainda necessitavam de regulamentação.

Dois anos depois, parte dessas lacunas foram preenchidas pelo Decreto nº 8.771, que entrou em vigor no dia 10 de junho de 2016.

Nele, os seguintes temas são tratados:
- Exceções à neutralidade da rede, chamadas pelo decreto de “discriminação de pacotes de dados na internet e de degradação de tráfego”
- Guarda e proteção de dados por provedores
- Transparência na requisição de dados cadastrais pela administração pública - Fiscalização e apuração de infrações

Veja a seguir os principais pontos que podem afetar o seu negócio:

1. Para quais serviços se aplicam as regras de discriminação de pacotes?

As regras se aplicam a serviços de infraestrutura de rede, exceto os serviços privados ou redes particulares.

2. Quais são as hipóteses na qual será permitida a discriminação ou a degradação de tráfego?

Sempre em caráter excepcional, os prestadores poderão realizar discriminação ou degradação da rede nas seguintes situações:

a. Requisitos técnicos indispensáveis: para manter a estabilidade, segurança, integridade e funcionalidade, devendo decorrer de questões de segurança como restrição ao envio de spams e controle de ataques DDos e hipóteses de congestionamento de redes. O cumprimento destes requisitos técnicos é de responsabilidade da Anatel, de acordo com as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr.

b. Adequada prestação de serviços e aplicações na internet: para permitir o gerenciamento de redes mediante a aplicação de medidas técnicas compatíveis com os padrões internacionais, segundo parâmetros da Anatel e do CGIbr. Nesse caso, devem ser adotadas medidas de transparência com o usuário acerca das circunstâncias em que a discriminação ou degradação da rede poderá ocorrer. As empresas devem informar sobre a possibilidade em seus contratos de prestação de serviço e sites.

c. Priorização dos serviços de emergência: para a priorização de trafego gratuita e restrita a prestadores de serviços de emergência ou para informar a população em situações de risco de desastre, de emergência ou de estado de calamidade pública.

3. Quando não é permitida a discriminação ou a degradação de tráfego?

Todas as possibilidades de discriminação ou degradação do trafego buscarão não afetar a natureza da internet única, aberta, plural e diversa, visando promover uma sociedade inclusiva e não discriminatória. Assim, são vedadas as condutas unilaterais ou acordos que:
(i) comprometam os fundamentos, princípios, objetivos e o caráter público e irrestrito do acesso à internet no País;
(ii) priorizem pacotes de dados em razão de arranjos comerciais; ou
(iii)privilegiem aplicações ofertadas pelo próprio prestador de serviços ou integrantes de seu grupo econômico.
Assim, os pacotes especiais para acesso a redes sociais ou aplicativos de comunicação não poderão ter tratamento diferenciado em seus planos de dados.

4. Quando e quais dados cadastrais o provedor deverá fornecer?

No caso do acesso aos dados cadastrais, a novidade foi § 1o do artigo 11, que determinou que o provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados. Ou seja, abriu-se a porta para um provedor se desobrigar de coletar os dados cadastrais, bastando informar tal conduta.

De qualquer modo, os pedidos das autoridades deverão ser motivados e específicos, indicando os indivíduos cujos dados estão sendo requeridos e as informações desejadas.

Pela norma, são considerados dados cadastrais nome completo, estado civil, profissão, filiação e endereço. O que chama a atenção é que muitas dessas informações geralmente nem são pedidas em cadastros online. Apesar dessa especificidade, o decreto deixou de lado dados mais comuns, como número de telefone e e-mail.

5. Como o decreto define dados pessoais e seu tratamento?

Dado pessoal: dado relacionado à pessoa física identificada ou identificável, inclusive números identificativos (como RG e CPF), dados de localização ou identificações eletrônicas.

Tratamento de dados pessoais: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

6. Quais os padrões de segurança de acesso aos dados devem ser mantidos pelos prestadores de serviços?

O decreto obriga os provedores de conexão e de aplicações a:

a. manter o controle estrito sobre o acesso e privilégios de acesso aos dados exclusivo para determinados usuários;

b. estabelecer mecanismos de autenticação de acesso aos registros;

c. criar inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações; e

d. utilizar soluções de gestão dos registros que garantam a inviolabilidade dos dados, sendo que padrões técnicos e operacionais, de acordo com as especificidades e o porte dos provedores, poderão ser recomendados pelo CGIbr. Além disso, respeitados os segredos empresariais, os provedores devem divulgar de forma clara e acessível em seus sites os padrões de segurança adotados.

A polêmica encriptação das conversas pelo WhatsApp estaria em linha com o decreto, que exige esse tipo de proteção para garantir a inviolabilidade dos dados. A regulamentação também encoraja que os provedores retenham a menor quantidade possível de dados pessoais, comunicações e logs, devendo excluí-los tão logo seja atingida a finalidade de seu uso ou se for encerrado algum prazo determinado por obrigação legal. Essas obrigações contrariam a fundamentação de recentes decisões judicias polêmicas, que transferem aos provedores a responsabilidade de manter histórico e controle dos acessos e dos usuários.

7. Os dados pessoais devem ser armazenados em que formato?

O decreto exige que os dados pessoais sejam mantidos em formato interoperável e estruturado, para facilitar o acesso das autoridades que possam solicitá-lo. No entanto, não ficou claro quais são esses padrões. Na pratica, ainda deverá ocorrer alguma regulamentação posterior para fixar um formato padrão.

8. Quem são os órgãos fiscalizadores da aplicação do Marco Civil?

A Anatel é responsável pela regulação, fiscalização e apuração de infrações nos aspectos da infraestrutura dos serviços de telecomunicações. Já a Secretaria Nacional do Consumidor atuará na fiscalização e na apuração de infrações ao consumidor. A apuração de infrações à ordem econômica ficará a cargo do Sistema Brasileiro de Defesa da Concorrência.