Interpretar uma lei e conseguir analisar potenciais conflitos jurídicos e impactos sobre os negócios não é uma tarefa fácil. Por isso abrimos espaço no Mobile Time para um especialista comentar o recente decreto federal que trata da neutralidade da rede, dentre outros aspectos do Marco Civil da Internet. Ao longo do texto do decreto estão marcados em negrito e itálico os comentários de Rafael Pellon, advogado especializado em direito digital, sócio do escritório FAS Advogados e consultor jurídico do Mobile Ecosystem Forum (MEF).
"A PRESIDENTA DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, inciso IV, alínea, da Constituição, e tendo em vista o disposto na Lei 12.965, de 23 de abril de 2014, DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Este Decreto trata das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indica procedimentos para a guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela administração pública e estabelece parâmetros para a fiscalização e apuração de infrações contidas na Lei 12.965, de 2014.
Art. 2º O disposto neste decreto se destina aos responsáveis pela transmissão, comutação ou roteamento, bem como aos provedores de conexão e de aplicações de internet, definida nos termos do art. 5º, I da Lei 12.965, de 2014.
Parágrafo único Este decreto não se aplica:
I — aos serviços de telecomunicações que não se destinem ao provimento de conexão de internet; [Rafael Pellon: Câmeras IP, equipamentos de IoT e outros estão fora deste Decreto. Os equipamentos em si não provêem acesso à Internet, mas a utilizam para serem acessados e para desempanharem suas funções.]
II — aos serviços especializados, entendidos como serviços otimizados por sua qualidade assegurada de serviço, velocidade ou segurança, ainda que utilizem protocolos lógicos TCP/IP ou equivalentes, desde que: [Rafael Pellon: ATM’s e intranets também estão fora da competência do Decreto.]
a) não configurem substituto à internet em seu caráter público e irrestrito; e
b) sejam destinados a grupos específicos de usuários com controle estrito de admissão
CAPÍTULO II
DA NEUTRALIDADE DE REDE
Art. 3º A exigência de tratamento isonômico de que trata o art. 9º da Lei 12.965, de 23 de abril de 2014, deve garantir a preservação do caráter público e irrestrito do acesso à internet, bem como os fundamentos, princípios e objetivos do uso da internet no Brasil, conforme previstos na Lei 12.965, de 2014. [Rafael Pellon: Destaque para a palavra "acesso". Neutralidade é acesso, não velocidade.]
Art. 4º A discriminação ou degradação de tráfego são medidas excepcionais, na medida em que somente poderão decorrer de requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações ou da priorização de serviços de emergência, sendo necessário o cumprimento de todos os requisitos dispostos no art. 9º, §2º da Lei nº 12.965, de 2014.
Art. 5º Os requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações devem ser observados pelo responsável de atividades de transmissão, comutação ou roteamento, no âmbito de sua respectiva rede, e tem como objetivo manter sua estabilidade, segurança, integridade e funcionalidade.
§1º Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de:
I — tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço;
II — tratamento de situações excepcionais de congestionamento de redes, tais como redistribuição de carga, rotas alternativas em casos de interrupções da rota principal, gerenciamento em situações de emergência [Rafael Pellon: O Decreto fala em "excepcionais", mas não detalha se o congestionamento de redes em horários de pico estariam dentro desta exceção. Com esta redação seria possível a provedores de acesso bloquearem o Netflix de um usuário, por exemplo, para diminuir o volume de dados na rede, reduzindo sua sobrecarga.]
§ 2º. A Agência Nacional de Telecomunicações — Anatel atuará na fiscalização e apuração de infrações quanto aos requisitos técnicos elencados neste artigo, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet — CGI.
Art. 6º Para a adequada prestação de serviços e aplicações na internet, é permitido o gerenciamento de redes com o objetivo de preservar sua estabilidade, segurança e funcionalidade, utilizando-se de medidas técnicas compatíveis com os padrões internacionais que sirvam ao funcionamento da internet e observados os parâmetros regulatórios expedidos pela Agência Nacional de Telecomunicações — Anatel, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet — CGI. [Rafael Pellon: Idem ao acima. A preservação da estabilidade da rede pressupõe a imposição de gargalos quando esta estiver sobrecarregada.Tampouco se proíbe a criação de limites ao uso de internet fixa, ou seja, a criação de pacotes fechados de dados e o fim da internet fixa ilimitada. Há apenas obrigatoriedade de informações ao usuário.]
Art. 7º O responsável pela transmissão, comutação ou roteamento deverá adotar medidas de transparência para explicitar ao usuário os motivos do gerenciamento que implique a discriminação ou degradação de que trata o art. 4º, tais como:
[Rafael Pellon: Em caso de adoção de limitações, o provedor de acesso é obrigado a informar aos seus clientes quais são, como funcionam e porque existem tais limitações. Ou seja, é permitida a criação de pacotes fechados de banda larga, mas o público precisa ser informado antes.]
I — indicação nos contratos de prestação de serviço firmado com usuários finais ou provedores de aplicação;
II — divulgação de informações referentes às práticas de gerenciamento adotadas em seus sítios eletrônicos, por meio de linguagem de fácil compreensão;
Parágrafo único. As informações de que trata esse artigo deverá informar, no mínimo:
I — a descrição dessas práticas;
II — os efeitos de sua adoção para a qualidade de experiência dos usuários; e
III — os motivos e a necessidade da adoção dessas práticas
Art. 8º A degradação ou discriminação decorrente da priorização de serviços de emergência somente poderá decorrer de: [Rafael Pellon: Esclarece que serviços de emergência são realmente as questões de calamidade pública e problemas reais que estressam as redes de telecom. Derrubar o Netflix ou o WhatsApp não é emergência.]
I — comunicações destinadas aos prestadores dos serviços de emergência, ou comunicação entre eles, conforme previsto na regulamentação da Agência Nacional de Telecomunicações — Anatel; ou
II — comunicações necessárias para informar a população em situações de risco de desastre, de emergência ou de estado de calamidade pública.
Parágrafo único. A transmissão de dados nos casos elencados neste artigo será gratuita.
Art. 9º Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, comutação ou roteamento e provedores de aplicação que:
I — comprometam o caráter público e irrestrito do acesso à Internet, bem como os fundamentos, princípios e objetivos do uso da internet no Brasil; ou
II — priorizem pacotes de dados em razão de arranjos comerciais; ou [Rafael Pellon: Redação dúbia e perigosa. Priorizar pacote de dados é dar mais velocidade ou degradar outro pacote de dados para que um outro passe na frente? Por este texto acordos de CDN ficariam sob dúvida quanto a sua legalidade. A princípio, como CDNs são apenas a instalação dos dados em locais mais próximos aos consumidores, não há priorização dos dados, apenas sua disponibilidade em locais de acesso facilitado. Mas não há degradação de outros dados para que aqueles da CDN passem. Pelo mesmo artigo, questões como Facebook Instant Articles e Google AMP correm risco de serem questionados.]
III — privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, comutação ou roteamento, ou por empresas integrantes de seu grupo econômico. [Rafael Pellon: Novamente, há o risco de questionamentos. Se os serviços do meu provedor estão no mesmo ambiente pelo qual acesso a internet, é óbvio que estes funcionarão mais rapidamente. Isto é privilégio? A redação não entra em detalhes para distinguir o que é acesso e o que é velocidade. A princípio se interpreta que por priorização estamos falando de prioridade de acesso em detrimento de outrem. Mas isto é uma interpretação.]
Art. 10. As ofertas comerciais e modelos de cobrança de acesso à internet devem preservar uma internet única, de natureza aberta, plural e diversa, compreendida como um meio para a promoção do desenvolvimento humano, econômico, social e cultural, contribuindo para a construção de uma sociedade inclusiva e não discriminatória. [Rafael Pellon: Isto já foi redigido no MCI e no Decreto mais de uma vez. Mas ninguém sabe o que é exatamente. Artigo propositivo que provavelmente servirá de base para ações coletivas e/ou civis públicas no futuro, utilizando conceitos abstratos como mote para uma discussão técnica.]
CAPÍTULO III
DA PROTEÇÃO AOS REGISTROS, AOS DADOS PESSOAIS E ÀS COMUNICAÇÕES PRIVADAS
Seção I
Da Requisição de dados cadastrais
Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º, da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e motivação para o pedido de acesso a dados cadastrais. [Rafael Pellon: Solicitações devem ser motivadas, o que é bom. Este caput em conjunto com o §3º é salutar para impedir pedidos de acesso a bases de dados inteiras.]
§1º O provedor que não coletar dados cadastrais deverá informar tal fato a autoridade solicitante ficando desobrigado de fornecer tais dados. [Rafael Pellon: Redação dúbia. É possível então não solicitar e manter dados cadastrais, a escolha do provedor? Há leis estaduais em SP e outros estados que obrigam aos provedores manter cadastro daqueles a quem dão acesso. Isto agora fica sendo opcional, já que o Decreto Federal em tese teria prioridade sobre o tema?]
§2º São considerados dados cadastrais a filiação, o endereço e a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
§3º Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo requeridos, bem como as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos.
Art. 12. A autoridade máxima de cada órgão público federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo: [Rafael Pellon: Com 30 Ministérios no Governo Federal, teremos então 30 relatórios?]
I — número de pedidos realizados;
II — listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
III — número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e
IV — número de usuários afetados por tais solicitações.
Seção II
Padrões de Segurança e Sigilo dos Registros, Dados Pessoais e Comunicações Privadas
Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I — estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II — previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III — criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, §3º da Lei 12.965, de 2014; e
IV — uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. [Rafael Pellon: Interessante notar que a própria legislação estimula o uso de encriptação para os dados dos usuários. Isso não quer dizer, contudo, que eles não devem ser ilegíveis e/ou inacessíveis nem em casos de exceção, como buscas judiciais. Manter os dados seguros não significa que eles devem ser invioláveis, apenas que não devem ser acessíveis por qualquer um.]
§1º Cabe ao Comitê Gestor da Internet — CGI promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e porte dos provedores de conexão e de aplicação.
§2º Tendo em vista o disposto nos incisos VII a X do art. 7º da Lei 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, excluindo-os tão logo atingida a finalidade de seu uso ou findo prazo determinado por obrigação legal. [Rafael Pellon: Esta disposição altera o MCI no que tange à guarda de dados. Até então os artigos 13 (guarda de dados de conexão por 1 ano) e 15 (guarda de dados de aplicação por 6 meses) tratavam de prazo mínimo, não máximo, não exigindo que os dados fossem apagados após este prazo. Agora com este parágrafo, a exclusão passa a ser mandatória.]
Art. 14. Para os fins do disposto neste Decreto, considera-se:
I — dado pessoal como dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa; e
II — tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 15. Os dados de que trata o art. 11 da Lei 12.965, de 2014 deverão ser mantidos em formato interoperável e estruturado que facilite o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 12 deste Decreto. [Rafael Pellon: O artigo 11 do MCI dispõe: "Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros."]
Art. 16. As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado o direito de confidencialidade quanto aos segredos empresariais. [Rafael Pellon: Um bom ponto para ser abordado em Termos de Uso e Políticas de Privacidade: quais os padrões de segurança que são utilizados por determinada empresa.]
CAPÍTULO IV
FISCALIZAÇÃO E TRANSPARÊNCIA [Rafael Pellon: O Capítulo só não trata da organização e/ou priorização das competências em caso de fiscalizações conjuntas ou simultâneas por diversos órgãos. Se a Anatel, a SNC/DPDC, o CADE e o Ministério Público Federal abrem inquéritos paralelamente sobre uma mesma infração, caberia a reunião dos inquéritos? Ou uma empresa teria que responder sobre um mesmo tema diversas vezes, para órgãos distintos? Do mesmo modo, se dois órgãos instauram um procedimento conjunto, mas excluem um terceiro órgão de tal investigação, caberia à empresa investigada questionar algum dos procedimentos? E, por fim, as decisões dos órgãos poderiam ser conflitantes ou potencialmente abusivas. Neste caso caberia ao Judiciário solucionar tais questões. O Capítulo, como um todo, parece um convite ao Judiciário para solucionar questões que poderiam ter sido mais bem organizadas nestes parágrafos.]
Art. 17. A Agência Nacional de Telecomunicações — Anatel atuará na regulação, fiscalização e apuração de infrações, nos termos da Lei nº 9.472, de 16 de julho de 1997.
Art. 18. A Secretaria Nacional do Consumidor atuará na fiscalização e apuração de infrações, nos termos da Lei nº 8.078, de 11 de setembro de 1990.
Art. 19. A apuração de infrações à ordem econômica ficará a cargo do Sistema Brasileiro de Defesa da Concorrência, nos termos da Lei no 12.529, de 30 de novembro de 2011.
Art. 20. Os órgãos e entidades da administração pública federal com competências específicas nos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do Comitê Gestor da Internet, e deverão zelar pelo cumprimento da legislação brasileira, inclusive aplicando as sanções cabíveis mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei 12.965, de 2014.
Art. 21. A apuração de infrações à Lei 12.965, de 2014, e a este Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios, podendo ser iniciada de ofício ou mediante requerimento de qualquer interessado.
Art. 22. Este Decreto entra em vigor trinta dias após a data de sua publicação.