Autores: José Eduardo Pieri e Rebeca Garcia (*)
Quase dois anos após entrar em vigor o Marco Civil da Internet, e depois de duas consultas públicas, foi editado o Decreto 8.771, de 11/5/2016. Em vigor desde 10 de junho, ele tem por foco a neutralidade da rede e a proteção a registros, dados pessoais e comunicações privadas.
A questão da neutralidade tem crucial repercussão sobre acordos comerciais entre empresas de telecomunicação e provedores de aplicações. É que o decreto proíbe acordos que comprometam o caráter público do acesso à internet, priorizem pacotes de dados em razão de arranjos comerciais, ou privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, comutação ou roteamento ou por empresa de seu grupo econômico. Não fica claro se a proibição abrange práticas como o zero rating — de não cobrar do usuário por serviços ou aplicações específicos em planos limitados de dados.
O decreto trouxe regras importantes sobre proteção de dados, a começar pela introdução de uma definição de dado pessoal e tratamento de dados — que ainda não era expresso em lei no Brasil. Agora, dado pessoal é considerado o dado “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”, e tratamento de dados pessoais, “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (artigo 14, I e II).
No cenário ainda carente de uma lei de proteção de dados, é um passo notável, de repercussões práticas imediatas, como a necessidade de rever termos de serviço e políticas de privacidade para avaliar se estão em linha com a nova orientação e ajustá-los, se for o caso — por exemplo, para tornar clara ou prever obtenção de consentimento para uso de dados de localização do usuário.
O decreto também impõe deveres que impactam a extensão e duração do tratamento de dados. Os provedores de conexão e de aplicações devem reter a menor quantidade possível de dados pessoais — é razoável supor que a quantidade será avaliada à luz da finalidade que justificou a coleta e o uso. E devem excluí-los uma vez atingida a finalidade de seu uso, ou encerrado prazo determinado por obrigação legal.
Os provedores devem também adotar diretrizes sobre padrões de segurança na guarda, armazenamento e tratamento de dados e comunicações privadas: controle estrito sobre o acesso; previsão de mecanismos de autenticação de acesso; criação de inventário dos acessos; e uso de soluções de inviolabilidade dos dados, como encriptação. Além do ônus de implementar tais medidas, pode haver impacto sobre termos e políticas dos provedores, ou ao menos sobre seus sites, já que as informações sobre os padrões adotados devem ser divulgadas de forma clara e acessível, de preferência nos sites dos provedores — e tais documentos podem ser opção útil de meio de divulgação.
O decreto não é expresso sobre o grau de obrigatoriedade das diretrizes, mas, considerando-se a fiscalização a ser exercida, inclusive na defesa do consumidor, a implementação é recomendada — o que pode ter repercussões financeiras e técnicas. Segundo o decreto, a fiscalização contará com a atuação de diferentes órgãos, a depender da natureza das infrações: Anatel, Secretaria Nacional do Consumidor e Sistema Brasileiro de Defesa da Concorrência, que atuarão colaborativamente, à luz das diretrizes do Comitê Gestor da Internet no Brasil.
O decreto dá importante passo para usuários, provedores e empresas que se valem da internet para desenvolver e criar negócios — traz mais luz a um ambiente que ainda carece de uma lei de proteção de dados e de maior segurança jurídica. Aliás, poucos dias após publicado o decreto, o anteprojeto de lei de proteção de dados pessoais, desenvolvido no âmbito do Ministério da Justiça desde 2010 e objeto de consultas e debates, foi enviado ao Congresso com urgência constitucional — isto é, Câmara e Senado terão 45 dias cada um para apreciar a matéria.
O decreto deixa também incertezas, não só pela amplitude de conceitos ou por manter abertos temas como critérios de aplicação de sanções, mas por ser mesmo novidade. Seu esclarecimento dependerá, sobretudo, do amadurecimento pela prática comercial e jurídica, incluindo a interpretação a ser dada pelos tribunais. Uma coisa é certa: as repercussões da regulamentação são diversas e relevantes, e já estão na ordem do dia de usuários e empresas.
Autores: José Eduardo Pieri é advogado da área de propriedade intelectual do BMA – Barbosa, Müssnich, Aragão.
Rebeca Garcia é advogada do BMA – Barbosa, Müssnich, Aragão.