Regulamentação do Marco Civil e suas consequências, vamos recapitular

Até o momento parece que poucas empresas se movimentaram efetivamente para se adequarem à nova lei, mas o que é mesmo que devemos cuidar? Acredito que vale uma recapitulação geral.

No dia 11 de maio de 2016,  antes de sofrer o afastamento pelo processo de Impeachment, a Presidente Dilma Roussef, após dois anos de ter sido sancionado pelo poder legislativo,  assinou a lei que regulamenta o Marco Civil da Internet.

Principais pontos definidos pela nova lei são:

  • Art 9º Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, pela comutação ou pelo roteamento e os provedores de aplicação que:

I – comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, os princípios e os objetivos do uso da internet no País;

II – priorizem pacotes de dados em razão de arranjos comerciais; ou

III – privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela comutação ou pelo roteamento ou por empresas integrantes de seu grupo econômico.

As operadoras também não podem privilegiar aplicações próprias ou por acordo comercial e nem impedir determinados tráfegos de dados como stream ou voip, hoje sabidamente temos algumas limitações “não explicitas” de tráfego devido ao não interesse da operadora.

Na teoria não poderá ser feito a identificação do “tipo de tráfego”, a sua filtragem ou degradação, na prática fica a dúvida de como controlar e garantir este direito. Nem mesmo a oferta de benefícios e gratuidade pelo tipo de tráfego utilizado.

  • Art 4º A discriminação ou a degradação de tráfego são medidas excepcionais, na medida em que somente poderão decorrer de requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações ou da priorização de serviços de emergência, sendo necessário o cumprimento de todos os requisitos dispostos no art.    9o, § 2o, da Lei no  12.965, de    2014.

Não poderá haver degradação de velocidade ou interrupção que não seja por falta de pagamentos, mas a meu ver será ainda uma grande luta para o fim do limite de consumo de dados no 3G e 4G e a redução de navegação após certo consumo,  também é um banho de água fria na tentativa de controle de consumo em banda larga… Vamos ver como se desenhará o cenário nos próximos meses.

  • Art 11º As autoridades administrativas a que se refere o art. 10, § 3o, da Lei no 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.

 § 1o O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados.

 § 2o São considerados dados cadastrais:

I – a filiação;

II – o endereço; e

III – a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.

 Com esta definição os provedores de aplicativos não são obrigados a manterem registros sobre as atividades dos usuários, bastando para isto informarem às autoridades de governo. Na prática a guerra contra o Facebook e Whatsapp encerra-se porque ele já informaram por diversas vezes não possuírem estas informações, mas fica a pergunta de como situações de investigações judiciais poderão ocorrer nos moldes da telefonia atual quando pede-se por meio de despacho judicial a gravação por escuta eletrônica.

  • Art 13º Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

I – o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

II – a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

III – a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3o, da Lei no 12.965, de 2014; e

IV – o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

Esta definida a necessidade de controle e sigilo sobre as informações privadas, o que impedirá a publicação ou venda destes registros, porém na prática será muito difícil controlar o cumprimento deste artigo, pois existem infinitas aplicações que coletam dados cadastrais de seus usuários e no final não sabemos nas mãos de quem elas vão parar, neste caso a melhor das hipóteses as informações cadastrais são vendidas para empresas de marketing direto e na pior vão parar nas mãos de estelionatários. O lado bom é que já temos amparo legal para reclamar a proteção de nossos dados.

  • Art 13º § 2o Tendo em vista o disposto nos incisos VII a X do caput do art. 7o da Lei no 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:

 I – tão logo atingida a finalidade de seu uso; ou

II – se encerrado o prazo determinado por obrigação legal.

Fica definido que deve haver certa parcimônia na solicitação e guarda de informações privadas e que elas devem ser excluídas assim que atingirem seu objetivo de uso, porém na prática o que se vê são infinitos “acumuladores” de informações cadastrais e pessoais para fins de exploração comercial em formato “big data”, como definir o limite da “finalidade de uso” ?

 

Conclusão:

Embora a assinatura deste decreto crie um amparo legal e defina caminhos mais claros nas práticas dos provedores de serviços de internet, ainda restam muitos pontos que necessitam maior claridade e outros que ainda precisam ser tratados. O caminho esta aberto e cascalhado, mas não está pavimentado definitivamente, precisamos ainda evoluir muito para chegarmos em um modelo de qualidade e usabilidade comparável ao existente em países mais evoluídos.

Existe muito a ser discutido para chegarmos a um padrão de qualidade e controle sobre o que as empresas oferecem ou se utilizam para suas práticas comerciais, aqui ainda legisla-se muito pelo interesse das empresas e pouco pelos interesses reais da população.

O fator ético empresarial, tão discutido e questionado nos últimos meses, ainda nos põe pesadas dúvidas na efetividade deste decreto e suas aplicações práticas, no entanto aguardamos e desejamos que este seja o início de uma mudança profunda e benéfica a todos os brasileiros.

Fonte:   Diário Oficial da União

por MindSec  06/07/2017
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. 340 Milhões de dados vazados em empresa de Marketing nos EUA

Deixe sua opinião!