/Apresentação

Informa sobre tratamento de dados Informa sobre condições de entrega de dados a agentes do Estado Defende a privacidade de usuários no Judiciário Adota posicionamento público pró privacidade Publica relatório de transparência sobre pedidos de dados Notifica usuários sobre pedidos de dados
Ver tabela de resultados da pesquisa anterior

O InternetLab foi escolhido pela Electronic Frontier Foundation – EFF (EUA) para realizar a versão brasileira do “Quem defende seus dados?”, baseado em seu projeto Who has your back?, realizado nos Estados Unidos desde 2011.

O “Quem defende seus dados?” visa promover a transparência e a adoção de boas práticas em matéria de privacidade e proteção de dados pelas empresas provedoras de acesso à Internet no Brasil, conscientizando usuários de Internet sobre práticas que afetam a proteção de sua privacidade e dados pessoais.

A periodicidade da avaliação realizada no projeto é anual. A cada versão reavaliaremos a metodologia e os resultados, garantindo que eles reflitam as possibilidades que estão ao alcance das empresas avaliadas para que elas defendam seus dados.

/Quem somos

O InternetLab é um centro independente de pesquisa interdisciplinar que promove o debate acadêmico e a produção de conhecimento nas áreas de direito e tecnologia, sobretudo no campo da Internet. Somos uma entidade sem fins lucrativos e atuamos como ponto de articulação entre acadêmicos e representantes dos setores público, privado e da sociedade civil.

A Electronic Frontier Foundation – EFF é uma organização não-governamental pioneira na defesa de direitos digitais. A organização trabalha com tecnólogos, ativistas e advogados para defender a liberdade de expressão online, combater a vigilância ilegal e advogar em nome dos usuários e da inovação.

/Nosso método

Como foram escolhidas as empresas avaliadas?

Escolhemos empresas que, a partir de dados divulgados pela Agência Nacional de Telecomunicações em outubro de 2016, possuíssem ao menos 10% do total de acessos à Internet – seja pela infraestrutura de banda larga fixa, seja pela pela infraestrutura de telefonia móvel.  Esse corte garantiu que avaliássemos as empresas responsáveis por cerca de 90% dos acessos em ambas as ocasiões.

No caso da banda larga fixa, as seguintes empresas se enquadraram nesse recorte: NET, Oi e Vivo. Em Internet móvel, enquadraram-se Claro, Oi, TIM e Vivo. Inserimos na tabela de resultados a possibilidade de filtro para comparar o desempenho na banda larga fixa ou na Internet móvel.

Como chegamos à metodologia aplicada?

Apesar de ser inspirado no projeto estadunidense “Who Has Your Back?”, o “Quem Defende Seus Dados?não reproduz exatamente sua metodologia. Isso acontece porque a realidade social (e jurídica!) brasileira é evidentemente diferente da dos EUA, o que implica pensar em categorias e parâmetros próprios.

Elaboramos as categorias e parâmetros de avaliação com base nas seguintes perspectivas:

  1. comprometimento público com obediência à lei;
  2. adoção de práticas e posturas pró-usuário;
  3. transparência sobre as práticas e políticas.

Chegamos aos resultados finais da seguinte forma:

  1. Dialogamos com as empresas e, a partir de seus comentários, ajustamos a metodologia e o seu desempenho. Nessa reavaliação da metodologia, categorias e parâmetros foram modificados conforme foram expostos bons argumentos ou práticas por parte das empresas avaliadas (janeiro a março de 2017);
  2. Com os resultados das empresas em mãos, entramos em contato com elas, pedindo que nos enviassem comentários, críticas ou documentos sobre os métodos e os resultados obtidos (dezembro de 2016);
  3. Revisamos a primeira versão adaptada da metodologia e a aplicamos (outubro e novembro de 2016);
  4. Divulgamos publicamente os resultados (abril de 2017).

CATEGORIA: Informações sobre tratamento de dados

O QUE QUEREMOS SABER: O provedor de Internet fornece informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados?

O que a lei brasileira diz?

A legislação brasileira (Marco Civil da Internet, artigo 7º, incisos VI e VIII) garante a usuários o direito de ter acesso a informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados, os quais somente podem ser utilizados para finalidades que estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet.

Além disso, quanto à proteção de dados, o art. 16 do Decreto no 8.771/2016 (decreto que regulamenta alguns aspectos do Marco Civil da Internet) também determina que informações sobre padrões de segurança devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente em seus sites.

Assim, diante desses direitos dos usuários, analisamos os contratos dos provedores de acesso à Internet e outros documentos e informações publicamente acessíveis, especialmente aquelas constantes dos sites das empresas, para verificar em que medida essas exigências legais estão sendo cumpridas.

É importante ressaltar que o termo “dados” é utilizado em sentido amplo, englobando tanto dados cadastrais como registros de conexão.

Quais foram os parâmetros de avaliação?

(I) A empresa fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre;

(II) A empresa fornece informações ou referências legais claras sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização;

(III) A empresa fornece informações ou referências legais claras sobre armazenamento de dados, incluindo por quanto tempo são armazenados, onde são armazenados e quando/se são apagados;

(IV) A empresa fornece informações ou referências legais claras sobre proteção de dados, incluindo quais práticas de segurança observa na guarda de dados, se há política de anonimização de dados e quem teria acesso aos dados, observando também o disposto no art. 16 do Decreto no 8.771/2016;

(V) A empresa fornece informações ou referências legais claras sobre utilização de dados por terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente para tal;

(VI) Há facilidade de acesso a essas informações a partir do site da empresa.

Padrões de desempenho

estrela_4_verde O provedor de Internet atende de 5 a 6 parâmetros.

estrela_2_verde O provedor de Internet atende de 3 a 4 parâmetros.

estrela_1_verdeO provedor de Internet atende a 2 parâmetros.

 estrela_0_verdeO provedor de Internet não atende a nenhum ou apenas um dos parâmetros.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

O QUE QUEREMOS SABER: O provedor de Internet promete entregar dados cadastrais e registros de conexão apenas mediante ordem judicial, e dados cadastrais, por requisição, apenas a autoridades administrativas competentes?

O que a lei brasileira diz?

O Marco Civil da Internet, em seu artigo 10, diferencia as hipóteses nas quais autoridades públicas podem ter acesso a dados cadastrais e a registros de conexão.

Os registros de conexão somente podem ser disponibilizados para o requisitante se a entrega for autorizada por ordem judicial (art. 10, §1º). Já os dados cadastrais podem ser disponibilizados diretamente para autoridades administrativas, sem necessidade de ordem judicial, se e quando possuem competência legal para a requisição (art. 10, § 3º). Além disso, o art. 11 do Decreto no 8.771/2016, que regulamenta alguns aspectos do Marco Civil da Internet, determina que a autoridade administrativa deve indicar no pedido o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.

Atualmente, autoridades policiais e do Ministério Público possuem autoridade para requisição de dados cadastrais no âmbito de aplicação da Lei das Organizações Criminosas e da Lei dos Crimes de Lavagem de Dinheiro. Nesse sentido, a interpretação mais protetiva para a privacidade dos usuários encara como sendo essas as duas únicas autoridades administrativas investidas de competência legal para requisitar dados cadastrais sem ordem judicial. Em outros casos, a ordem judicial ainda seria necessária para a entrega de dados cadastrais.

Procuramos avaliar aqui, portanto, se a empresa, em seu contrato ou qualquer outro documento oficial disponível para o público, deixa claro aos seus usuários quais as circunstâncias em que autoridades judiciais ou administrativas podem ganhar acesso a seus dados.

Quais foram os parâmetros de avaliação?

(I) A companhia promete fornecer dados cadastrais por requisição (sem ordem judicial) apenas a autoridades administrativas competentes, dentro do escopo da lei em que a prerrogativa para requisição foi instituída.

(II) A companhia promete fornecer dados cadastrais, nos casos não excepcionados, e registros de conexão apenas mediante ordem judicial.

Padrões de desempenho

estrela_4_verdeO provedor de Internet atende a ambos parâmetros.

estrela_3_verde O provedor de Internet atende parcialmente a ambos os parâmetros.

estrela_2_verdeO provedor de Internet atende a um dos parâmetros.

estrela_0_verde O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

O QUE QUEREMOS SABER: O provedor de Internet contestou judicialmente pedidos de dados abusivos ou legislação que considera invadir a privacidade de usuários?

O Judiciário é um espaço importante para a defesa de direitos de usuários contra abusos e ilegalidades. Com isto em vista, buscamos avaliar a postura das empresas em processos judiciais em matéria de privacidade e proteção de dados.

Quais foram os parâmetros de avaliação?

(I) A empresa contestou judicialmente legislação que considera invadir a privacidade de usuários de Internet, por ser desproporcional e/ou não estabelecer de modo claro, preciso e detalhado os casos e circunstâncias em que dados devam ser entregues ou as salvaguardas adequadas para inibir abusos (Exemplo: arts. 15, 17 e 21 da Lei das Organizações Criminosas);

(II) A empresa contestou judicialmente pedidos abusivos de acesso a dados de usuários que extrapolavam as prerrogativas legais da autoridade autora do pedido e/ou eram desproporcionais, em razão de sua falta de clareza e precisão sobre dados requeridos e motivação, ou por qualquer outra razão que comprometa o direito à privacidade de usuários.

Padrões de desempenho

estrela_4_verde O provedor de Internet atende a ambos parâmetros.

estrela_2_verde O provedor de Internet atende a um dos parâmetros.

estrela_0_verde O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

O QUE QUEREMOS SABER: O provedor de Internet se posicionou publicamente sobre projetos de lei e políticas públicas que afetam a privacidade dos usuários, defendendo dispositivos que melhoram a proteção desse direito?

Importa muito saber o que as empresas pensam sobre a privacidade de usuários de Internet e seus dados pessoais. Esta categoria pretende avaliar a participação das empresas em debates públicos ou eventos acerca de leis, projetos de lei e políticas públicas que impactam usuários da rede.

Consideramos apenas a participação feitas em nome da própria empresa e não por associações compostas por várias empresas – como o SindiTeleBrasil – pois acreditamos que o posicionamento público institucional da empresa é essencial para gerar um compromisso com os seus usuários.

Qual foi o parâmetro de avaliação?

(I) A empresa participou de algum debate público em nome próprio que afete o direito à privacidade e proteção de dados no Brasil, como em discussões sobre PL no 5276/2016, PL no 4060/2012 (e apensados, como o PL no 5276/2016), PL no 1331/2015, PLS no 180, PL no 6726/2010, PL no 5074/2016, PL no 3237/2015 e o Plano Nacional de Internet das Coisas.

(II) A empresa participou de algum debate público em nome próprio e defendeu a aprovação de legislação específica para a proteção de dados no Brasil (ex.: Lei de Proteção de Dados Pessoais favor da privacidade, como em discussões sobre PL no 5276/2016, PL no 4060/2012 (e apensados, como o PL no 5276/2016), PL no 1331/2015, PLS no 180, PL no 6726/2010, PL no 5074/2016, PL no 3237/2015 e o Plano Nacional de Internet das Coisas.

(III) A empresa, em nome próprio,  em qualquer um dos debates públicos citados acima, defendeu a adoção de técnicas de segurança de dados e proteção do sigilo das comunicações (ex. anonimização efetivas de dados coletados, criptografia, soluções de privacidade e segurança “por padrão”).

(IV) A empresa, em nome próprio, em qualquer um dos debates públicos supracitados, defendeu princípios de proteção de dados pessoais consolidados na prática internacional (ex.: consentimento prévio, finalidade, necessidade etc).

Padrões de desempenho

estrela_4_verdeO provedor de Internet atende a todos os parâmetros.

estrela_3_verde O provedor de Internet atende a 3 parâmetros.

estrela_2_verdeO provedor de Internet atende a 2 parâmetros.

estrela_1_verde O provedor de Internet atende a 1 parâmetro.

estrela_0_verde O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Relatório de transparência sobre pedidos de dados

O QUE QUEREMOS SABER: A empresa publica relatórios de transparência, informando quantas vezes recebeu pedidos de dados por autoridades estatais e quantas vezes entregou?

Relatórios de transparência são informes emitidos por empresas que podem conter, entre outros conteúdos, diversas estatísticas relacionadas a pedidos de dados. Relatórios com esse tipo de informação são um mecanismo cada vez mais adotado ao redor do mundo para informar como e quanto as empresas cooperam com autoridades do Estado, em geral por força de lei, entregando dados para produção de prova em processos cíveis e penais. No exterior, a publicação desses relatórios por provedores de aplicações como Google, Facebook, Twitter, e Microsoft, e provedores de conexão à Internet como Vodafone e Verizon já é uma prática comum.  No Brasil, essa ainda é uma prática pouco comum, o que prejudica o debate público.

É verdade que as empresas brasileiras não são legalmente obrigadas a produzir relatórios de transparência, mas a publicação de estatísticas sobre pedidos e exibições de dados, de forma agregada, também não é proibida. Existe, portanto, a oportunidade de mostrar que as empresas se preocupam em nutrir uma relação de confiança com usuários, baseada na transparência, e contribuir para o debate público a respeito das prerrogativas de acesso a dados de usuários por parte das autoridades públicas.

O art. 12 do Decreto no 8.771/2016 cria a obrigação de divulgar estatísticas similares a essas citadas acima (quantidade de requerimentos, autoridades requerentes, etc.) para órgãos da Administração Pública federal, o que reforça o desenvolvimento de uma cultura de transparência sobre pedidos de dados no país. Acreditamos que o setor privado possa voluntariamente se apropriar dessa pauta. Em manifestações a Comissões Parlamentares,  empresas já mencionaram a grandeza do número de pedidos que recebem e a Associação Nacional de Operadoras Celulares (ACEL), em manifestação na ADI 5063, afirmou que há abusos na atuação das autoridades públicas, como pedidos não fundamentados. Dentro desse contexto, torna-se cada vez mais importante a criação de canais de acompanhamento periódicos dessas informações por usuários, como seria o caso com a publicação dessas informações em relatórios de transparência.

Quais foram os parâmetros de avaliação?

(I) Possui relatório de transparência que informe sobre colaboração com autoridades estatais;

(II) Possui relatório de transparência que informe sobre colaboração com autoridades estatais, informando estatísticas sobre (i) quantidade de pedidos recebidos e cumpridos por tipo de dado (cadastral ou registro de conexão); (ii) quantidade de pedidos recebidos e cumpridos por autoridade requerente; (iii) quantidade de pedidos recebidos e cumpridos por motivo da autoridade (produção de prova em processo cível, penal ou administrativo, ou investigação criminal e de que tipo), por exemplo.

Padrões de desempenho

estrela_4_verde Atende a dois parâmetros.

estrela_2_verde Atende a um parâmetro.

estrela_0_verde Não atende a nenhum parâmetro.

CATEGORIA: Notificação do usuário

O QUE QUEREMOS SABER: A empresa notifica usuários quando recebe pedidos de dados?

Quando usuários são notificados de que seus dados cadastrais ou registros de conexão à Internet foram requisitados por autoridades administrativas ou judiciais, ampliam-se as suas possibilidades de exercer efetivamente seus direitos de defesa contra abusos e irregularidades.

O impacto de notificações para a garantia da efetiva defesa em um Estado de Direito não é novidade. À luz do princípio constitucional do devido processo, muitas leis estabelecem o dever de notificar atingidos sobre medidas que afetam seus direitos. Pelo Código de Processo Penal brasileiro, por exemplo, quando o juiz recebe um pedido de imposição de medida cautelar contra alguém, cabe a ele avisar o atingido sobre o pedido, para que possa apresentar seus argumentos (art. 282, §3º).

No contexto de pedidos de dados, provedores de Internet ganham papel fundamental na proteção de garantias processuais de usuários afetados. Isso porque a notificação de empresas ao usuário permite, na primeira oportunidade, que o usuário conteste pedidos ilegais  – tanto na forma de ordens judiciais não fundamentadas, quanto de requisições de autoridades administrativas sem competência e embasamento. Como é agora, o usuário depende da contestação feita pelas próprias empresas contra pedidos que elas consideram abusivos. Se notificados pelas empresas, usuários ganhariam a possibilidade de se auto-defenderem contra potenciais violações de sua privacidade.

Tendo isso em mente, achamos importante incentivar a prática de notificação de usuários no QDSD. Em casos de pedidos de dados não acompanhados por obrigação de sigilo, a notificação de empresas ao usuário afetado é, dada a ausência de prescrição legal em sentido contrário, autorizada pela legislação brasileira.

A possibilidade de notificação do usuário pode ser vislumbrada, por exemplo, em casos de pedidos de dados de identificação na justiça cível e no âmbito de pedidos realizados por outros órgãos da Administração, como a Receita Federal ou a ANATEL. Até mesmo no âmbito de processos penais, a notificação prévia à entrega de dados pode ser vista como em regra permitida, quando não haja exigência de sigilo, em respeito aos princípios constitucionais da ampla defesa e ao contraditório, ao reforçar a possibilidade de contestação a produção de provas irrelevantes aos fatos do processo.

Para a edição deste ano, decidimos que esta categoria receberia a denominação especial de “bônus”, pois a notificação não é uma prática difundida no país, nem é dever legal das empresas. É uma medida vista como inovadora e, por exigir pessoal responsável pelas notificações, custosa para as empresas. Por essas razões, nosso entendimento é que a sua adoção revelaria um compromisso a mais com a defesa de direitos de usuários, especialmente digno de ser premiado.  A notificação do usuário, no primeiro momento em que for legalmente possível, e preferencialmente prévio à entrega de dados, colabora com o princípio da ampla defesa, além de fomentar uma cultura de proteção à privacidade.

Qual foi o parâmetro de avaliação?

(I) Promete notificar usuário previamente à entrega de dados cadastrais e registros de conexão, sempre que o sigilo da entrega não estiver imposto por lei, ou no primeiro momento em que a notificação é permitida.

Padrões de desempenho

estrela_4_verde Atende ao parâmetro.

estrela_0_verde Não atende ao parâmetro.

/Nossas Fontes

Para a aplicação da metodologia, consultamos contratos-modelo disponíveis em websites, salas de imprensa e outras manifestações públicas oficiais por escrito das empresas avaliadas. Esses foram os únicos documentos à nossa disposição para avaliar os termos de oferecimento do serviço de acesso à Internet aos usuários nesta primeira edição do QDSD.  Em termos de uso ou em páginas chamadas “Política de Privacidade” não foram encontradas informações relevantes, pois se referem à utilização do próprio website das empresas.

VIVO

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2017/04/vivo-internet-fixa.pdf

Móvel (pós-pago): http://www.internetlab.org.br/wp-content/uploads/2017/04/VIVO-contrato_de_adesao_vivo_internet_pos.pdf

Relatório de Sustentabilidade: http://www.internetlab.org.br/wp-content/uploads/2017/04/Telefonica_RS2015_20160810-relatorio-sustentabilidade.pdf

Política de Privacidade Global Telefônica (em espanhol): http://www.internetlab.org.br/wp-content/uploads/2017/04/Vivo-Politica-de-Privacidade-Grupo-Telefonica-esp-2015.pdf

Informe de Transparencia en las Comunicaciones 2016 (em espanhol): http://www.internetlab.org.br/wp-content/uploads/2017/04/vivo-Telefonica_Transparencia_ESP_interactivo_22B.pdf  

Manifestações na consulta pública sobre o Plano Nacional de Internet das Coisas: https://codingrights.org/tmp/consulta_iot/

TIM

Regulamento Tim Live (Banda Larga): http://www.internetlab.org.br/wp-content/uploads/2017/04/TIM-BL-regulamento-tim-live.pdf

Contrato Tim Live (Banda Larga): http://www.internetlab.org.br/wp-content/uploads/2017/04/Tim-BL-Contrato-de-Prestação-de-Serviços-Live-TIM.pdf

Contrato Móvel (pós-pago): http://www.internetlab.org.br/wp-content/uploads/2017/04/tim-MOVEL-POS-Contrato-SMP_POS.pdf

Contrato Móvel (pré-pago):  http://www.internetlab.org.br/wp-content/uploads/2017/04/tim-MOVEL-PRE-Contrato-de-Prestao-de-Servio-Mvel-Pessoal-Pr-Pago.pdf

Relatório de Sustentabilidade: http://www.internetlab.org.br/wp-content/uploads/2017/04/TIM-relatorio-de-sustentabilidade.pdf

Manifestações na consulta pública sobre o Plano Nacional de Internet das Coisas:  http://www.internetlab.org.br/wp-content/uploads/2017/04/Tim-2017-Contribuicao-CP-IoT-MCTIC-_TIM-CELULAR.pdf

CLARO

Móvel (pós-pago):

http://www.internetlab.org.br/wp-content/uploads/2017/04/claro-contrato_pos_pago_smp_-_nacional_exceto_rs.pdf

Móvel (pré-pago):

http://www.internetlab.org.br/wp-content/uploads/2017/04/claro-contrato_pre_pago_smp_-_nacional_0.pdf

Notícia: http://www1.folha.uol.com.br/colunas/mercadoaberto/2016/05/1775162-decisao-da-justica-a-respeito-de-dados-cadastrais-de-telefonia-so-afeta-claro.shtml

Relatório de Sustentabilidade 2015: http://www.internetlab.org.br/wp-content/uploads/2017/04/Claro-AMX-IS-2015-espanol.pdf

Manifestações na consulta pública sobre o Plano Nacional de Internet das Coisas: https://codingrights.org/tmp/consulta_iot/

NET

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2017/04/NET_contrato.pdf

OI

Contrato Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2016/04/oi-BL.pdf

Contrato Móvel (pós-pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/OI-POS-PAGO.pdf

Contrato Móvel (pré-pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/OI-smp-pre.pdf

Política de Privacidade: http://www.internetlab.org.br/wp-content/uploads/2017/04/Oi-Política-de-Privacidade-.pdf

Política de Uso Aceitável: http://www.internetlab.org.br/wp-content/uploads/2017/04/Oi-Política-de-Uso-Aceitável.pdf

Política de Segurança da Informação: http://www.internetlab.org.br/wp-content/uploads/2017/04/Oi-Política-de-segurança-da-informação.pdf

Relatório de Sustentabilidade:  http://www.internetlab.org.br/wp-content/uploads/2017/04/Oi_RAS_2015_interativo_port_vf.pdf

Código de Ética: http://www.internetlab.org.br/wp-content/uploads/2017/04/codigo-etica-oi.pdf

Manifestações na consulta pública sobre o Plano Nacional de Internet das Coisas: http://www.internetlab.org.br/wp-content/uploads/2017/04/AF-CT-OI-GEIR-151-2017-1601-Contribuição-à-consulta-pública-sobre-….pdf

/Resultados 2017

Informa sobre tratamento de dados Informa sobre condições de entrega de dados a agentes do Estado Defende a privacidade de usuários no Judiciário Adota posicionamento público pró privacidade Publica relatório de transparência sobre pedidos de dados Notifica usuários sobre pedidos de dados
Ver tabela de resultados da pesquisa anterior

CLARO

CATEGORIA: Informações sobre tratamento de dados

Resultado: estrela_1_verde

A Claro obteve ¼ de estrela, pois atendeu a dois parâmetros e meio: parcialmente ao parâmetro I e completamente aos parâmetros V e VI.

Quanto ao parâmetro I, é importante ressaltar que as informações fornecidas no contrato são explicitamente apenas sobre dados cadastrais. No Cláusula 14.7 do contrato de serviço na modalidade “pré-paga”, a empresa afirma que ao contratar o serviço e receber o código de acesso, o cliente autorizaria o fornecimento de seus dados cadastrais para a entidade administradora, não se fazendo referência a eventual coleta de outros tipos de dados.

Cláusula 14.7 (pré-pago): “Uma vez solicitada pelo ASSINANTE a Portabilidade do Código de Acesso e atendidos os requisitos e as condições comerciais estabelecidas para tal, o ASSINANTE autoriza, desde já, o fornecimento de seus dados cadastrais para a “Entidade Administradora” e para a “Prestadora Doadora”, assim definidas pela ANATEL, a fim de permitir a conclusão, ou não, de sua solicitação de Portabilidade”.

Não foram encontradas as  informações avaliadas nos parâmetros II, III e IV (uso, armazenamento e segurança de dados).

Quanto ao parâmetro V, na Cláusula 15.6 afirma-se que todas as informações do cliente são confidenciais e só poderão ser fornecidas (i) ao assinante; (ii) ao representante com procuração específica; (iii) à autoridade judicial; e (iv) a outras prestadoras de serviços de telecomunicações para fins específicos da prestação desses serviços.

Cláusula 15.6 (pré-pago): Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras e Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Quanto ao parâmetro VI, há facilidade para achar o contrato no site da empresa, logo ao rodapé da página de abertura de seu website.

Para edições futuras, cabe reforçar que apesar de a fonte primária de pesquisa ser os contratos, qualquer fonte pública de informação é levada em consideração para avaliação de cumprimento dos parâmetros. Por exemplo, nesse endereço http://www.claro.com.br/segurancadainformacao a empresa possui uma seção em que informa clientes sobre questões de segurança da informação e prevenção a fraudes. No mesmo sentido, a empresa poderia divulgar suas políticas e esforços de proteção à privacidade de clientes.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: estrela_1_verde

A Claro obteve ¼ estrela, pois atendeu apenas minimamente aos parâmetros (I e II).

Nos contratos, a Claro não é clara quanto à diferenciação de tratamento entre dados cadastrais e registros de conexão, falando apenas em “informações do cadastro do assinante” que, na modalidade pré-paga, pode ser fornecida a autoridades judiciais e, na modalidade pós-paga, a “autoridades públicas”.

Modalidade pré-pago:

Cláusula 15.6. Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Modalidade pós-pago:

Cláusula 15.6 Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

A linguagem dos contratos revela que existe certa transparência ao cliente sobre a entrega de dados a autoridades do Estado. Por não esclarecer a interpretação que acolhe sobre a extensão da entrega de dados cadastrais sem ordem judicial nem fazer esclarecer o tratamento dado a registros de conexão, foi considerado que a empresa cumpre parcialmente aos dois parâmetros.

Para edições futuras, cabe reforçar que apesar de a fonte primária de pesquisa ser os contratos, qualquer fonte pública de informação é levada em consideração para avaliação de cumprimento dos parâmetros. Por exemplo, nesse endereço http://www.claro.com.br/segurancadainformacao a empresa possui uma seção em que informa clientes sobre questões de segurança da informação e prevenção a fraudes. No mesmo sentido, a empresa poderia passar a divulgar os procedimentos e interpretações que adota quando avalia a legalidade de pedidos de dados de usuários de internet.

A legislação confere a dados cadastrais e registros de conexão tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: estrela_4_verde

A Claro obteve estrela cheia, pois atendeu aos parâmetros (I) e (II).

No ano passado, neste critério, a Claro já havia conquistado um total de ½ estrela, pois contestou por ação direta de inconstitucionalidade (ADI 5063), junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (L.12.850/13) no Supremo Tribunal Federal (STF). A ação proposta pela ACEL foi considerada pois, de acordo com as normas constitucionais, não é possível ingressar com esse tipo de medida individualmente.

Em setembro de 2016, a ACEL peticionou novamente ao STF para reiterar a necessidade da concessão de medida cautelar para que sejam suspensos os efeitos jurídicos previstos nos artigos 15, 17 e 21 da Lei das Organizações Criminosas até o julgamento do mérito, visto que, de acordo com a Associação, essa lei tem impulsionado vários abusos de autoridades públicas. Na peça, denuncia que além do esvaziamento da proteção constitucional ao sigilo das comunicações e à privacidade de todos os cidadãos brasileiros, o cenário tem sido de várias ações repressivas (autoridades administrativas que querem processar penalmente funcionários das empresas responsáveis por negarem pedidos de dados), diversas requisições indiscriminadas, etc.

Encontramos também uma notícia segundo a qual a Claro teria se recusado, em uma ação judicial, a fornecer os dados cadastrais de usuários cujos chips haviam sido apreendidos durante prisões e buscas domiciliares realizadas pela Polícia Federal. De acordo com a notícia, a empresa teria ingressado no judiciário com o argumento de que naquele episódio teria havido falta de determinação judicial e, por isso, tinha o dever de proteger a privacidade de seus usuários. Foi verificado em decisão do 3º Tribunal Regional Federal que a empresa efetivamente atuou neste sentido. Com isso, recebeu estrela completa.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: estrela_2_verde

A Claro obteve ½  estrela, pois atendeu aos parâmetros I e III.  

Encontramos posicionamentos da empresa na consulta pública sobre o Plano Nacional de Internet das Coisas, preenchendo o parâmetro I.

A empresa defendeu a importância de técnicas de segurança da informação no item 11 (Segurança e Privacidade), o que a fez atender ao parâmetro III, mas também argumentou pela desnecessidade de mais normativas sobre proteção da privacidade e de dados pessoais:

  • “Os riscos associados ao uso de IoT não estão restritos apenas à conexão na rede Internet, embora a probabilidade seja consideravelmente potencializada pela sua capilaridade e dispersão geográfica. Os riscos cibernéticos associados ao IoT também são estendidos a redes privadas devido à existência de inúmeros vetores de acesso que podem ser utilizados como ponto de entrada de uma invasão. Nesse contexto, é realmente importante que a segurança seja exercida nas diversas camadas, pela combinação dos diversos instrumentos disponíveis (criptografia de dados, atualização de software, utilização de antivírus, autenticação de acesso e outros).”
  • “Verificamos que tais limitações de processamento estão majoritariamente presentes em dispositivos de baixo custo, cujos processadores tendem a ser pouco potentes. Este cenário torna-se bastante diferente quando analisamos dispositivos mais avançados, que suportam algoritmos de criptografia sem maiores problemas. De qualquer forma, é importante lembrar que nem todo dado é sigiloso e necessita ser criptografado. O modelo de segurança deve considerar a natureza dos dados e o grau de sigilo necessário para cada informação.
  • Neste contexto, também podem ser adotadas outras técnicas de proteção, tais como: mascaramento de dados e tokenização. Em suma, cada projeto deve balancear a solução mais adequada em função do grau de risco da informação e a vida útil dos dispositivos.
  • “A visão do setor é que já existe no ordenamento jurídico brasileiro normas eficazes para garantir segurança e privacidade dos os usuários dos serviços M2M/IoT. Os usuários do ecossistema M2M/IoT estão protegidos por todo o ordenamento jurídico brasileiro, que possui normas eficazes atinentes à segurança e privacidade. Atualmente a legislação brasileira atual passa por um momento de revisão, análise e aperfeiçoamento de tal modo que todo o ecossistema M2M/IoT tenha resguardada sua privacidade, sua viabilidade e sua segurança jurídica. Dessa forma, haverá necessidade de acompanhamento de algumas iniciativas no Congresso Nacional que versam sobre o tratamento a ser aplicado aos dados pessoais, objetivando evitar que tais legislações tornem inviáveis o desenvolvimento de aplicações/soluções M2M/IoT.”

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: estrela_0_verde

A Claro  não obteve estrela, pois não atendeu a nenhum dos parâmetros.

O grupo América Móvil, do qual a Claro faz parte, publica relatório de sustentabilidade sobre suas atividades em diversos países, inclusive no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado: estrela_0_verde

A Claro  não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.


NET

CATEGORIA: Informações sobre tratamento de dados

Resultado: estrela_0_verde

A NET não obteve estrela, pois não atendeu a nenhum parâmetro. Ao contrário do que acontecia ano passado, o contrato não traz mais nenhuma informação sobre tratamento de dados pessoais de clientes e não foi possível encontrar qualquer outro tipo de informação no site que pudesse substituir àquelas que foram suprimidas dos contratos.

No contrato, agora empresa faz apenas referência a dispositivos da ANATEL que contém direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

Muitos desses dispositivos contém implicações para as políticas de privacidade das empresas. Nesse sentido, o InternetLab entende que a empresa pode preferir não incluir extensos dispositivos legais em contratos. Ao mesmo tempo, entretanto, entendemos que a empresa não pode se omitir de informar clientes sobre suas políticas referentes à coleta, uso, armazenamento, segurança e compartilhamento de dados pessoais, que podem ser mais detalhadas e mais extensas. A empresa poderia divulgar suas políticas e esforços de proteção à privacidade de clientes em uma seção de seu website, por exemplo.

O único parâmetro que a empresa alcançou foi o de facilidade do acesso ao contrato em seu site (VI), cuja referência se encontra ao rodapé da página inicial da NET (http://www.netcombo.com.br), no item sobre contratos e regulamentos. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. O atendimento de um parâmetro é, entretanto, insuficiente para contar alguma premiação.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:  

A NET obteve ¼ de estrela, pois atendeu parcialmente ao parâmetro I.

Na cláusula 28.01 do contrato, a NET afirma que, em hipótese de práticas lesivas mencionadas nesse mesmo documento, ela poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o assinante, bem como cancelar sua conta automaticamente, sem aviso prévio.

Cláusula 28.01. Sem prejuízo de outras não elencadas, são consideradas como práticas lesivas ao serviço NET VÍRTUA e/ou aos demais ASSINANTES, sujeitando-se o infrator a todas as cominações legais decorrentes, inclusive a rescisão contratual:

a) O ASSINANTE será responsável por manter as configurações da máquina para acesso aos serviços aqui contratados, sendo proibido alterar estas configurações na tentativa de responsabilizar terceiros ou ocultar a identidade ou autoria. Na hipótese de ocorrência dos casos aqui mencionados, a PRESTADORA poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o ASSINANTE, bem como cancelar a conta automaticamente, sem prévio aviso, respondendo o ASSINANTE civil e penalmente pelos atos praticados;

A redação do dispositivo faz parecer que só há fornecimento de dados a autoridades quando o usuário incorre em atividades nocivas à própria empresa, o que não é o caso na realidade. Por tanto, há espaço para melhora.

Ainda neste aspecto, vale destacar que a empresa faz referência a dispositivos da ANATEL que contém direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

Entre os deveres das empresas impostos em resoluções da ANATEL, está o de resguardar o sigilo de informações de clientes e de colaborar com autoridades na forma da lei. No entanto, a NET não informa a clientes de modo claro que tipos de dados entrega e em que circunstâncias. Há diversas nuances legais quanto ao tema e é importante a transparência sobre os procedimentos e interpretações adotadas pela empresa.

A legislação confere a dados cadastrais e registros de conexão tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes, segundo o Marco Civil da Internet. Atualmente, são elas autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: estrela_0_verde

A NET não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não encontramos nenhuma ação em tribunais, contestando legislação, da qual a NET participasse. Tampouco encontramos ações nas quais defendessem usuários ou contestassem pedidos abusivos. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a NET não cumpre os parâmetros.

Vale mencionar que, ao contrário das demais empresas analisadas que receberam crédito pelo parâmetro (I) por participarem de ação direta de inconstitucionalidade (ADI) via ACEL (Associação Nacional das Operadoras Celulares), contestando artigos da Lei das Organizações Criminosas (Lei nº 12.850/13), a NET é um provedor de Internet banda larga fixa. A ADI em questão é de um coletivo de operadoras de telefonia móvel, as quais são também provedores de Internet móvel. A NET é, contudo, igualmente afetada pelas obrigações dessa lei, o que também poderia ter lhe dado razão para desafiá-la.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: estrela_0_verde

A NET não obteve estrela, pois atendeu não atendeu a nenhum parâmetro.

Em diversas oportunidades ao longo do ano, empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade e a proteção de dados de usuários. Após fazermos buscas na imprensa especializada, mídia tradicional e nas salas de imprensa das empresas, não encontramos nenhum material nesse sentido assinado pela NET.

Na fase de engajamento com as empresas, pedimos que, caso tivessem participado de algum evento ou debate público sobre esses temas e, neles, tenha se manifestado em favor da privacidade dos usuários (guarda de dados, acesso a dados etc), nos informasse com a indicação dos respectivos documentos e/ou registros públicos da referida participação para que pudessemos considerar esse fato em nossa avaliação. A NET, entretanto, não colaborou com o projeto.

É importante mencionar que estamos cientes do fato de a NET ter como incorporadora a Claro S.A, a qual foi premiada nessa categoria pela participação na consulta ao Plano Nacional da Internet das Coisas. No entanto, não consideramos as contribuições de Claro S.A como representativas da NET nesta categoria porque, na apresentação para o público em geral, as empresas desassociam suas imagens e atividades.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: estrela_0_verde

A NET  não obteve estrela, pois não atendeu a nenhum dos parâmetros.

O grupo América Móvil, do qual a NET faz parte, publica relatório de sustentabilidade sobre suas atividades em diversos países, inclusive no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado: estrela_0_verde

A NET  não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.


OI

CATEGORIA: Informações sobre tratamento de dados

Oi Banda Larga Fixa

Resultado: estrela_1_verde

A Oi Banda Larga obteve ¼ de estrela, pois atendeu parcialmente aos parâmetros II e IV e completamente ao VI, cumprindo o total de 2 parâmetros.

Quanto ao parâmetro II, no contrato, a  companhia afirma que o cliente tem direito ao respeito de sua privacidade e na utilização de seus dados pessoais, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações, o que não consideramos informações completas o suficiente para cumprir qualquer parâmetro:

Cláusula 8.9. (…) bem como ao respeito de sua privacidade nesses documentos e na utilização de seus dados pessoais pela Oi, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

Sobre o parâmetro IV, na Política de Segurança de Informação, no Código de Ética e na Política de Uso Aceitável, a Oi dá algumas informações breves sobre protocolos de segurança da empresa e dos funcionários para lidar com dados.

Por fim, há facilidade no acesso aos contratos no site da Oi (http://www.oi.com.br/), o que faz com que atenda-se ao parâmetro VI.

Oi Móvel

Resultado: estrela_0_verde

A Oi Móvel não obteve estrela, pois atendeu parcialmente ao parâmetro IV e completamente ao parâmetro VI, totalizando em 1 parâmetro e meio.

As justificativas quantos parâmetros IV e VI são as mesmas da Oi Banda Larga. A diferença foi que não cumpriu o parâmetro II, visto que no contrato analisado não foi possível encontrar informações sobre tratamento de dados.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: estrela_0_verde

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Na fase de engajamento, a empresa nos explicou um pouco mais sobre seu processo de análise de pedidos de dados por agentes do Estado, inclusive chamando atenção para posicionamentos do Supremo Tribunal Federal sobre a proteção conferida a dados cadastrais que interferem na postura da empresa.

Como não puderam ser encontradas referências públicas sobre isso, não pudemos atribuir à Oi avaliação positiva nessa categoria. Afinal, a categoria avalia se usuários, especialmente seus clientes, são informados. O InternetLab agradece a participação engajada da Oi e encoraja a empresa a passar a divulgar os procedimentos e interpretações que adota quando avalia a legalidade de pedidos de dados de usuários de internet.

A legislação confere a dados cadastrais e registros de conexão tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes, segundo o Marco Civil da Internet. Atualmente, são elas autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: estrela_4_verde

A Oi estrela cheia, pois atendeu a ambos parâmetros.

Ano passado, a Oi havia conquistado ½ de estrela nesse item ao cumprir o parâmetro I, pois contestou por ação direta de inconstitucionalidade (ADI 5063), junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (L.12.850/13) no Supremo Tribunal Federal (STF). Consideramos a ação da ACEL pois, de acordo com as regras constitucionais, seria impossível para uma operadora tomar esse tipo de iniciativa individualmente.

Em setembro de 2016, a ACEL peticionou novamente o STF para reiterar a necessidade da concessão de medida cautelar para que sejam suspensos os efeitos jurídicos previstos nos artigos 15, 17 e 21 da Lei das Organizações Criminosas até o julgamento do mérito, visto que, de acordo com a Associação, essa lei tem impulsionado vários abusos de autoridades estatais. Na peça, denuncia que além do esvaziamento da proteção constitucional ao sigilo das comunicações e à privacidade de todos os cidadãos brasileiros, o cenário tem sido de várias ações repressivas (autoridades administrativas que querem processar penalmente funcionários das empresas responsáveis por negarem pedidos de dados), diversas requisições indiscriminadas etc. Assim, continua a cumprir esse parâmetro nessa edição.

Quanto ao parâmetro II, na fase de engajamento, a Oi apresentou ao InternetLab evidências materiais de casos em que defendeu usuários de pedidos que considerou abusivos.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: estrela_2_verde

A Oi obteve ½ estrela, pois atendeu aos parâmetros I e III.

Encontramos posicionamentos da empresa na consulta pública sobre o Plano Nacional de Internet das Coisas, o que fez com que cumprisse o parâmetro I.

A empresa defendeu a importância de técnicas de segurança da informação no item 11 (Segurança e Privacidade) e defendeu a importância de ter dispositivos robustos que possam suportar formas de criptografia complexas e a imprescindibilidade desse mecanismo para a defesa da privacidade dos usuários, cumprindo o parâmetro III, mas também argumentou pela desnecessidade de mais normativas sobre proteção da privacidade e de dados pessoais:

  • A criptografia é realmente fundamental e imprescindível para a privacidade dos dados enviados pelos dispositivos IoT. Muitos desses dispositivos são construídos visando baixo consumo de energia a fim de aumentar a vida útil das baterias que os mantém e, como isso, acabam ficando “enxutos” demais a ponto de dificultar a utilização de soluções criptográficas robustas. Entendemos, que durante a fase de desenho da solução o poder computacional necessário para suportar protocolos de criptografia seguros e atuais deva ser garantido, assim como a capacidade de atualização e principalmente de randomização dessas chaves. (p. 29)
  • Para proteger a intimidade do usuário, seja em qualquer um dos perfis citados, deve-se utilizar o ordenamento jurídico vigente, o qual protege o indivíduo de todas as formas, inclusive no que se refere à intimidade, privacidade, segurança.  (p. 30)
  • Portanto, o arcabouço normativo existente atualmente já contempla dispositivos que asseguram de maneira equilibrada e eficiente a segurança dos cidadãos em ambientes digitais.
  • A existência de um número excessivo de normas e regras que regem as relações nesse ecossistema pode representar uma limitação do processo evolutivo da economia digital e das inovações que podem trazer benefícios para toda a sociedade, ao mesmo tempo em que não significam melhor proteção ao direito dos indivíduos. (…) eventual uso abusivo da IoT será eliminado naturalmente, seja pelos usuários, seja pelo Judiciário ou pelas próprias empresas, com a auto-regulamentação. (p. 31)
  • Qualquer lei ou regulamentação adicional que vier a surgir deve ter em vista que a criação de normas limitadoras pode ferir um dos principais valores fomentados pela economia digital que é a liberdade, e por isso deve adotar um caráter mais principiológico. (p. 31)

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: estrela_0_verde

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

A Oi publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados por autoridades governamentais.

CATEGORIA: Notificação do usuário

Resultado: estrela_0_verde

A Oi não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.


TIM

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

TIM Banda Larga

A TIM Banda Larga obteve ½ estrela, pois atendeu completamente aos parâmetros de fornecer informações sobre finalidade de uso dos dados (V) e de facilidade de acesso às informações (VI) e parcialmente aos parâmetros sobre informações de uso (II) e segurança de dados (IV), totalizando o cumprimento de três parâmetros.

A empresa não fornece informações ou referências legais completas sobre quais dados são coletados (parâmetro I).

Quanto ao parâmetro II (uso e tratamento de dados), na Cláusula 3.1 (r) afirma que são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologia necessários para assegurar este direito dos usuários. Na cláusula 4.2 (e) afirma que são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; no item (j) ressalta que a empresa respeita a privacidade dos usuários nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora.

Cláusula 3.1 (r): são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologias necessárias para assegurar este direito dos usuários.

Cláusula 4.2 (e) são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; (j) o respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora;

Além disso, no Relatório de Sustentabilidade, afirma-se que o acesso aos cadastros e dados de comunicação dos usuários será permitido apenas aos colaboradores que precisem acessar tais informações para atividades profissionais.

Apesar disso, como não há informações completas sobre como a empresa utiliza e trata os dados coletados, o cumprimento do parâmetro II é apenas parcial.

Não há informações sobre armazenamento de dados (parâmetro III).

Quanto ao parâmetro IV, a empresa o atende parcialmente por divulgar no Relatório de Sustentabilidade que, no âmbito da segurança, segue as melhores práticas do mercado, de acordo com o ISSO 27001 (apesar de não possuírem certificação). Como o cliente precisa encontrar o relatório de sustentabilidade, e a seguir ler e entender a certificação mencionada, foi considerado cumprimento apenas parcial. O art. 16 do Decreto 8.771/2016 fala em “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

Por fim, quanto ao VI, há facilidade para ter acesso às informações, pois o site está bem mais enxuto e é possível acessar os contratos e termos de serviço no fim da página de cada opção de serviço.

TIM Móvel

A TIM Móvel também obteve ½ estrela, pois atendeu completamente aos parâmetros de fornecer informações sobre finalidade de uso dos dados (V) e de facilidade de acesso às informações (VI) e parcialmente aos parâmetros sobre informações de uso (II) e segurança de dados (IV), totalizando o cumprimento de três parâmetros. As observações anteriores também valem aqui.

Para o parâmetro II no caso da TIM Móvel, cabe citar a Cláusula 3.3.G do plano pré-pago (mesmos termos na Cláusula 3.5.F do pós-pago), em que se afirma que é assegurado ao cliente direitos como inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses legais de quebra de sigilo e ressalvada a hipótese de disponibilização de informações, exclusivamente para fins estatísticos, fornecendo informações e referências legais sobre utilização dos dados.

Cláusulas 3.3.g pré-pago e 3.5.f pós-pago: São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

Como no item anterior, considerou-se que essa informação sobre uso de dados não é completa e por isso o cumprimento do parâmetro II é apenas parcial.

Na fase de engajamento com as empresas, a TIM defendeu que deveria receber estrela cheia nesta categoria. Isto porque a ausência de procedimentos administrativos da autoridade reguladora contra a empresa atestariam sua situação de compliance legal. Forneceu ainda acesso ao link da Política de Privacidade da empresa, à qual o InternetLab havia solicitado.

Apesar de enaltecer o engajamento da empresa com o projeto, o InternetLab entende que a empresa não apresentou fundamentação suficiente para gerar alteração de sua avaliação nesta categoria. Isto porque entendemos que o QDSD é um projeto que prestigia empresas que adotam boas práticas de proteção de dados de seus clientes no atendimento a obrigações legais, como é o caso quando informam de maneira acessível, didática e completa sobre como tratam dados pessoais de clientes. Além disso, o InternetLab destaca que a Política de Privacidade indicada pela empresa diz respeito a dados gerados na navegação do site da TIM, e não à política adotada por dados tratados na prestação do serviço de acesso à internet oferecido aos seus clientes.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

TIM Banda Larga

Resultado: estrela_1_verde

A TIM Banda Larga obteve ¼ de estrela, pois atendeu minimamente ao parâmetro I.

Na cláusula 14.01 (g) do contrato, a TIM Banda Larga afirma que poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o assinante que se engaje em atividades ilícitas:

Cláusula 14.1 (g) o contrato pode ser extinto unilateralmente pela TIM caso seja constatada a utilização do serviço para prática de atos criminosos, notadamente crimes contra crianças e adolescentes previstos no ECA e demais legislações aplicável a espécie, resguardando o direito de a TIM buscar eventual reparação por perdas e danos em face do cliente caso tenha sido acionada por terceiros prejudicado, no âmbito de demandas cíveis ou criminais que suscitem a responsabilidade pela prática de tais atos ofensivos, através do LIVE TIM, sendo inclusive facultado a TIM fornecer todos os dados cadastrais do cliente as autoridades judiciais na forma da lei 12.965/2014 para apuração do ilícito e devida responsabilização do autor das ofensas. (grifo nosso)

A redação do dispositivo faz parecer que só há fornecimento de dados a agentes do Estado quando o usuário incorre em atividades nocivas, o que não é o caso na realidade. Por tanto, há espaço para melhora.

No relatório de sustentabilidade, há indicação de que a TIM colabora com autoridades.

As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades exclusivamente nos casos previstos na legislação em vigor (p. 30).

No entanto, não são esclarecidos que tipos de dados e em que circunstâncias o fornecimento ocorre, isto é, quais os procedimentos e interpretações adotados pela empresa. Sobre isso, cabem as mesmas considerações feitas para a TIM Móvel.

TIM Móvel

Resultado: estrela_3_verde

A TIM Móvel obteve ¾ de estrela, pois atendeu parcialmente aos dois parâmetros.

Os contratos da TIM analisados adotam a seguinte linguagem:

Modalidade pós-pago:

Cláusula 10.12. A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

Modalidade pré pago:

Cláusula 10.4 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

No relatório de sustentabilidade, há indicação semelhante:

As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades exclusivamente nos casos previstos na legislação em vigor (p. 30).

Apesar de afirmar que disponibiliza “dados” apenas em caso de determinação de autoridade competente, a empresa se omite em indicar justamente o que a categoria pretende avaliar: se a empresa se compromete a entregar registros de conexão apenas mediante ordem judicial e dados cadastrais, excepcionalmente sem ordem judicial, apenas a autoridades competentes. Para esse critério, é importante que a empresa assuma um comprometimento público com a proteção que confere a esses diferentes tipos de dados. Por isso, não recebeu estrela cheia.

O InternetLab lembra que, na primeira edição do QDSD, considerou que o termo utilizado (“autoridades competentes”) seria genérico o suficiente para informar que dados poderão ser fornecidos tanto a autoridade judicial quanto autoridade administrativa, quando competentes para fazerem o pedido. Avisamos, porém, que essa avaliação seria mais rigorosa na edição seguinte.

Como ressaltamos então, essa redação não esclarece ao usuário o fato de dados cadastrais e registros de conexão possuírem tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

Como avisamos na primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, será necessário que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

Na fase de engajamento com as empresas, a TIM contestou a avaliação, solicitando a revisão da pontuação porque não haveria na legislação setorial um tratamento distinto a ser conferido a “registros de conexão”. O InternetLab, entretanto, não entendeu que haveria espaço para revisão da avaliação, porque a empresa está, sim, submetida ao Marco Civil da Internet e demais leis citadas acima.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:  estrela_4_verde

A TIM obteve estrela cheia, pois atendeu aos dois parâmetros.

No ano passado, a TIM havia conquistado uma estrela completa, pois contestou por ação direta de inconstitucionalidade (ADI 5063), junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (L.12.850/13) no Supremo Tribunal Federal (STF), além de nos enviarem exemplos de ações judiciais nas quais contestaram pedidos abusivos de dados, em defesa do direito à privacidade dos usuários. Naquela ocasião, consideramos a ação da ACEL pois, de acordo com as regras constitucionais, seria impossível para uma operadora tomar esse tipo de iniciativa individualmente.

Em setembro de 2016, a ACEL peticionou novamente ao STF para reiterar a necessidade da concessão de medida cautelar para que sejam suspensos os efeitos jurídicos previstos nos artigos 15, 17 e 21 da Lei das Organizações Criminosas até o julgamento do mérito, visto que, de acordo com a Associação, essa lei tem impulsionado vários abusos de autoridades estatais. Na peça, denuncia que além do esvaziamento da proteção constitucional ao sigilo das comunicações e à privacidade de todos os cidadãos brasileiros, o cenário tem sido de várias ações repressivas (autoridades administrativas que querem processar penalmente funcionários das empresas responsáveis por negarem pedidos de dados), diversas requisições indiscriminadas etc.

Quanto ao parâmetro (II), a TIM apresentou ao InternetLab, na fase de engajamento, peças em que contesta por via judicial pedidos abusivos, comprovando a sua atuação em defesa da privacidade de seus clientes.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: estrela_4_verde

A TIM obteve estrela cheia, pois atendeu a todos os parâmetros.

Na fase de engajamento, a TIM informou ao InternetLab que participou de “Consulta Pública do Ministério da Justiça sobre a regulamentação do Marco Civil da Internet, a Consulta Pública do Ministério da Ciência, Tecnologia, Inovação e Comunicações sobre o Plano Nacional de Internet das Coisas e a Consulta Pública da ANATEL sobre a revisão do setor de telecomunicações”.  A empresa frisou que defendeu direitos de usuários na seção de Privacidade e Segurança do Plano Nacional de Internet das Coisas. De fato, como atesta o documento com a contribuição da empresa, a TIM defendeu criação de legislação específica para a proteção de dados no Brasil (parâmetro II), adoção de técnicas de segurança de dados e proteção do sigilo das comunicações (parâmetro III) e também princípios de proteção de dados pessoais consolidados na prática internacional (parâmetro IV), como pode ser lido abaixo:

  • Proteção de dados: criação de diferentes níveis de segurança e defesa cibernética que garantam a proteção adequada à privacidade de todos os dados que serão gerados pelos novos dispositivos. Vale notar, isso deverá significar também a geração de modelos de negócio simplificados para os casos em que os dados trafegados não contenham informações críticas à segurança, à privacidade do usuário ou ao segredo industrial. Por fim, a TIM acredita que as regras de proteção de dados devem estar em conformidade com o padrão internacional sobre a matéria. (p. 3)
  • Como se sabe, o Brasil ainda não conta com uma Lei Geral sobre Proteção de Dados. Espera- se que uma legislação nesse sentido venha a ser editada em breve, a partir dos Projetos de Lei que tramitam no Congresso Nacional. A ausência de um quadro normativo consolidado não impede que leis esparsas, a exemplo da LGT, tragam disposições específicas relacionadas à questão. Não se deve considerar, por certo, que o ecossistema de IoT se encontra à margem do sistema legal de proteção de dados pessoais e da privacidade, sobretudo porque, como visto, tal ecossistema é capaz de potencializar riscos à privacidade do usuário. Todavia, é necessário que a disciplina relacionada à questão seja flexibilizada, sempre que cabível, considerando-se as especificidades do mundo IoT/M2M. […] (p. 70)
  • Nesse sentido, com relação aos Projetos de Lei atualmente em discussão no Brasil, a TIM entende que eles devem buscar maior equilíbrio entre desenvolvimento tecnológico e proteção dos dados pessoais, de modo a garantir o constante desenvolvimento da inovação no setor de M2M/IoT. (p. 72)
  • Com relação à coleta de dados a partir de sensores IoT, caso referidos sensores sejam considerados, eles próprios, dispositivos relacionados a uma pessoa (a partir do conceito a ser consolidado, o qual deve combinar a lógica expansionista com critérios objetivos de delimitação, conforme exposto no tópico anterior), é imprescindível que se enderece na legislação que venha a ser editada questões relacionadas à obtenção de consentimento do titular dos dados, bem como sobre outras hipóteses legítimas para coleta dessas informações, a exemplo do legítimo interesse comercial (instituto que deve ter seu estudo aprofundado no Brasil, para ser introduzido adequadamente no ordenamento jurídico pátrio).
  • O instituto do legítimo interesse tem embasamento na Diretiva 95/46/CE do Parlamento Europeu, que trata especificamente da proteção de dados pessoais.
  • De acordo com a referida Diretiva, o consentimento, ainda que seja ponto chave para o tratamento de dados pessoais, é dispensado, entre outras circunstâncias, em caso de necessidade do tratamento de dados para prosseguir interesses legítimos do responsável pelo tratamento.
  • Importante apontar que o Article 29 Data Protection Working Party (“Working Party”), grupo de trabalho responsável por interpretar a Diretiva de Proteção de Dados, já se manifestou acerca do conceito de legítimo interesse para fins da Diretiva.
  • Segundo o Working Party, legítimo interesse deve ser entendido como aquele que permite ao responsável pelo tratamento dos dados perseguir seu interesse de forma a respeitar as previsões de proteção de dados e outras leis, ou seja, o legítimo interesse, para fins da Diretiva, deve ser “aceitável de acordo com a lei”. Desse modo para que o interesse seja considerado legítimo este deve ser: (i) lícito; (ii) suficientemente especificado de modo a permitir a realização do “balancing test”; e (iii) não especulativo. (p. 71)

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: estrela_2_verde

A TIM obteve ½ estrela, pois atendeu ao parâmetro I.

A TIM publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos. Mesmo na seção “transparência”, a empresa não informa nada neste sentido. Há, contudo, a indicação de que colabora com autoridades.

As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades exclusivamente nos casos previstos na legislação em vigor (p. 30).

Para esta edição, em razão disso, foi considerado cumprido o parâmetro I. O InternetLab destaca, entretanto, que tal informação está bastante distante dos usuários, obscurecida em meio a informações para investidores dentro do relatório de sustentabilidade. Para edições futuras, o InternetLab também vai considerar a acessibilidade dessa informação, além, da própria qualidade da informação (apresentação de estatísticas que informem a grandeza do fornecimento de dados de usuários a autoridades públicas).

Durante a fase de engajamento com as empresas, a TIM reiterou ao InternetLab que não está obrigada a divulgar estatísticas, que o decreto regulamentador do Marco Civil da Internet impõe essa obrigação a autoridades, e que, por motivos de segurança, entende não ser recomendável a disponibilização pela própria empresa. Ressaltou, entretanto, que, quando solicitado de modo motivado, informa dados agregados sobre pedidos a autoridades do Poder Judiciário ou de Segurança Pública.

A empresa pediu que essa categoria fosse revista, à luz de suas considerações. Por mais que o InternetLab entenda as preocupações da empresa, destacamos a importância da transparência para o refinamento de mecanismos de responsabilização do Estado e o fato de que esta prática é cada vez mais difundida em diversos países do mundo, inclusive entre diversas empresas de telecomunicações.

CATEGORIA: Notificação do usuário

Resultado: estrela_0_verde

A TIM não obteve estrela, pois não atendeu a nenhum parâmetro.

Nos materiais analisados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.


VIVO

CATEGORIA: Informações sobre tratamento de dados

Resultado: estrela_4_verde

Vivo Banda Larga Fixa

A Vivo Banda Larga obteve uma estrela cheia por atender completamente aos parâmetros I a IV e parcialmente aos V e VI, resultando em cinco parâmetros.

Quanto ao parâmetro I, segundo o Relatório de Sustentabilidade da Telefônica e sua Política Global de Privacidade, a empresa comunica que são coletados os dados daqueles que contratam serviços da Telefônica, que utilizam seu website e que tratam dados necessários para prestar serviços, como aqueles sobre o uso e a localização quando for permitido pela legislação.

Quanto ao parâmetro II, ainda no Relatório de Sustentabilidade e na Política Global de Privacidade, a empresa afirma que usa os dados para promover e prestar os serviços contratados pelos clientes, inovar e melhorar os produtos que oferece, gerenciar internamente seus colaboradores e que, quando a informação for utilizada para outro fim, o cliente será comunicado e terá a opção de contestar tal uso.

Quanto ao parâmetro III, a empresa informa no relatório que “reté[m] informações durante o tempo permitido pela lei ou se for necessária para a execução de um objetivo legítimo de [seu] negócio”. Não há informações sobre local de armazenamento. No contrato, a empresa cita legislação da ANATEL que determina, entre outros, que a prestadora deve manter dados cadastrais e a reter registros de conexão de seus assinantes pelo prazo mínimo de um ano.

Cláusula 5.2.8 Prestar esclarecimentos ao CONTRATANTE, de pronto e livre de ônus, face a suas reclamações relativas à fruição dos serviços.

Zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do CONTRATANTE, empregando todos os meios e tecnologia necessários para assegurar este direito.

Cláusula 5.2.9 Cumprir com as demais obrigações previstas no Capítulo III, do Título IV, do Anexo I da Resolução no 614, de 28 de maio de 2013, da Anatel. (grifo nosso)

A empresa poderia ser mais clara neste item, ao invés de apenas referir a documento jurídico externo, de modo a facilitar a compreensão do usuário brasileiro.

Na fase de engajamento com as empresas, a Vivo esclareceu que tem o dever de informar clientes sob uma série de direitos e obrigações, existindo uma linha tênue entre informar os usuários de maneira clara e efetiva e passar a eles um detalhamento excessivo de informações. Isso pode ajudar a explicar a opção da empresa por ter redigido o contrato de tal forma. Cabe reforçar, no entanto, que qualquer fonte pública de informação é levada em consideração para avaliação de cumprimento dos parâmetros. A empresa pode disponiblizar tais informações em infográficos em seu website, por exemplo. Há espaço, portanto, para melhoramento, o que será avaliado pelo InternetLab nas próximas edições.

Quanto ao parâmetro IV, nos mesmos documentos, a empresa informa alguns dos padrões de segurança que segue e algumas medidas que toma para garantir a segurança dos usuários. Por exemplo, a existência de funções como a de Chief Privacy Officer e Chief Data Officer, além de informar que possuem procedimentos formais para atender solicitações recebidas por autoridades legais e que isso é de responsabilidade das áreas da Secretaria Geral e Segurança. Na Política Global de Privacidade, também indica os princípios que norteiam o manuseio de dados de modo a garantir a integridade, confidencialidade e segurança de dados.

Quanto ao parâmetro V, a empresa informa no relatório que os dados podem ser transferidos internacionalmente para as empresas do Grupo Telefônica e cedidos a empresas terceirizadas, mas não esclarece em quais circunstâncias o último caso aconteceria. Há espaço, portanto, para melhoramento, o que será avaliado pelo InternetLab nas próximas edições.

Sobre o parâmetro VI, há dificuldade para encontrar os contratos no site. O relatório de Sustentabilidade encontra-se apenas no site da Telefônica. Além disso, a Política Global de Privacidade está disponível apenas em espanhol, o que constitui um obstáculo em termos de acessibilidade para usuários. A empresa pode atuar para remediar estes obstáculos e assim melhorar expressivamente sua performance neste critério. O InternetLab encoraja fortemente a empresa a disponibilizar tais informações em português, o que será avaliado nas próximas edições.

Em todo caso, para a edição deste ano, o InternetLab reconhece que a empresa incluiu várias informações gerais sobre coleta, tratamento e segurança de dados e mencionou a possibilidade de que dados sejam requeridos pelo governo em seu relatório de sustentabilidade, além de linkar para sua política de privacidade global.

Vivo Móvel

A Vivo Móvel obteve uma estrela cheia por atender completamente aos parâmetros  I, II e IV e parcialmente aos III, V e VI, resultando em quatro parâmetros e meio.

Assim, todas as observações que foram feitas no caso da Vivo Banda Larga podem ser replicadas aqui com exceção daquela correspondente ao parâmetro III. Aqui, continua contando que a  empresa informa no relatório que retém informações durante o tempo permitido por lei ou pelo tempo que for necessário para a execução legítima de seu negócio. Nos contratos móveis, entretanto, não há nenhum dado  adicional, o que faz com que a informação não seja tão completa e, consequentemente, nesse aspecto, a Vivo Móvel não cumpra integralmente com esse parâmetro.

No entanto, pela soma dos parâmetros ainda se exceder a quatro, decidiu-se manter a estrela cheia.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: estrela_3_verde

Nesta categoria, a Vivo obteve ¾ de estrela, pois atende quase integralmente aos parâmetros (I e II).

No Relatório de Sustentabilidade, a companhia admite haver a possibilidade de o governo pedir certos dados e afirma ter procedimentos para avaliar tais solicitações:

Criar e/ou manter processos e procedimentos operacionais para avaliar as solicitações governamentais que possam ter impacto sobre a liberdade de expressão e da privacidade. Dispomos de processo formais para atender as solicitações recebidas por autoridades locais/ governamentais. São de responsabilidade das áreas da Secretaria-geral e Segurança. Em 2015 foi apresentado o Guia de Procedimento para solicitações governamentais e de aplicação para todas as empresas que integram o Grupo Telefónica. (p. 53)

Quanto a este ponto, o InternetLab encoraja a empresa a passar a divulgar o “Guia de Procedimento” mencionado. Durante a fase de engajamento, a empresa nos contou um pouco mais de como ocorre. Como a categoria avalia se tais informações são prestadas ao público, em especial aos seus clientes, o InternetLab encoraja a empresa a fazê-lo.

No Informe de Transparencia en las Comunicaciones 2016, a empresa informa quais são as autoridades que, de acordo com a legislação brasileira listada, considera competente para requisitar dados. A empresa divide entre “interceptações de [conteúdo de] comunicações” e “metadados”:

Interceptaciones de las comunicaciones:

De acuerdo con el artículo 3o de la Ley Federal brasileña no 9.296/1996 (ley de las interceptaciones), solamente el Juez (de la esfera criminal) puede determinar las interceptaciones (telefónicas y telemáticas), a petición de la Fiscalía (Ministério Público) o Comisario de Policía ( “Autoridade Policial”).

Metadatos:

Fiscalía, Comisarios de Policía y Jueces de cualquier esfera: el nombre y dirección del usuario registrado (datos de abonado), así como la identidad de los equipos de comunicación (incluyendo IMSI o IMEI).

Jueces de cualquier esfera: los datos para identificar el origen y el destino de una comunicación (por ejemplo, números de teléfono, nombres de usuario para los servicios de Internet), fecha, hora y duración de una comunicación y la localización del dispositivo. (p. 11-12)

Isso significa que a Vivo entrega dados cadastrais mediante requisição de representantes Ministério Público (“Fiscalía”), autoridades policiais (“comisarios de policía”) e juízes. Registros de conexão, entretanto, são disponibilizados apenas mediante ordem de um juiz.

O InternetLab enaltece a conduta da Telefónica Brasil de tornar públicas as suas interpretações sobre quais as autoridades competentes para solicitar dados de usuários e em que circunstâncias.

De fato, a legislação brasileira confere a dados cadastrais e registros de conexão tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes, segundo o Marco Civil da Internet. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

Os parâmetros, entretanto, exigem que a empresa se comprometa a entregar dados cadastrais sem ordem judicial a autoridades competentes apenas no escopo da lei em que a prerrogativa foi instituída, isto é, em casos de investigações de crimes  de organizações criminosas e de lavagem de dinheiro. Por essa razão, a empresa recebeu ¾ de estrela.

Por fim, o InternetLab encoraja a Vivo a traduzir para o português e a facilitar o acesso em seu website a essas informações sobre sua atuação mediante pedidos de agentes do Estado. Para a próxima edição, isto será considerado e levado em conta na avaliação.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: estrela_2_verde

A Vivo obteve ½ estrela, pois atendeu ao parâmetro I.

No ano passado, nesta categoria, a Vivo já havia conquistado um total de ½ estrela, pois contestou por ação direta de inconstitucionalidade (ADI 5063), junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (L.12.850/13) no Supremo Tribunal Federal (STF). A ação proposta pela ACEL foi considerada pois, de acordo com as normas constitucionais, não é possível ingressar com esse tipo de medida individualmente.

Em setembro de 2016, a ACEL peticionou novamente ao STF para reiterar a necessidade da concessão de medida cautelar para que sejam suspensos os efeitos jurídicos previstos nos artigos 15, 17 e 21 da Lei das Organizações Criminosas até o julgamento do mérito, visto que, de acordo com a Associação, essa lei tem impulsionado vários abusos de autoridades públicas. Na peça, denuncia que além do esvaziamento da proteção constitucional ao sigilo das comunicações e à privacidade de todos os cidadãos brasileiros, o cenário tem sido de várias ações repressivas (autoridades administrativas que querem processar penalmente funcionários das empresas responsáveis por negarem pedidos de dados), diversas requisições indiscriminadas, etc. Assim, cumpriu o parâmetro I.

Na fase de engajamento, a Vivo apresentou outros exemplos em que também se uniu a outras operadoras para contestar legislações que julgam ferir o direito à privacidade, citando, além da ADI acima, a ADI nº 5.642 (via Sinditelebrasil), a ADI nº 5059 (via ACEL) e a ADI nº 4.906 (via ABRAFIX).

Quanto ao parâmetro II, na fase de engajamento, pedimos a todas as empresas que nos enviassem exemplos de ações judiciais nas quais tenham contestado pedidos abusivos de dados por parte de autoridades ou outras violações da privacidade dos usuários. Apesar de enaltecermos o engajamento da Vivo no projeto e de terem afirmado que contestam pedidos abusivos, a empresa não enviou ao InternetLab evidências materiais, nem pudemos encontrar algo parecido em pesquisa independente, o que fez com que não cumprisse o parâmetro em questão.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: estrela_2_verde

A Vivo obteve ½  estrela, pois atendeu aos parâmetros I e III.

Encontramos posicionamentos da empresa na consulta pública sobre o Plano Nacional de Internet das Coisas, atendendo ao parâmetro I.

No item 11 (Segurança e Privacidade), a empresa argumentou que a legislação atual pátria já seria mais do que suficiente para a proteção integral da privacidade e de dados pessoais, não defendendo nenhum outro dispositivo que ampliasse os mecanismos de proteção de privacidade, o que fez com que não cumprisse o parâmetro II. Ainda nesse item, defendeu o uso de criptografia para comunicações e transações mais sensíveis, atendendo ao parâmetro III:

  • A opção ou não do uso e/ou tipo de criptografia para se manter a segurança e a privacidade dos dados inseridos em dispositivos M2M/IoT deve guardar relação com a aplicação e forma de comunicação. Isto porque, comunicações mais sensíveis devem estar aptas a uma segurança maior. Já comunicações ou aplicações que não requerem proteção, podem ser exploradas sem a utilização de técnicas de criptografia.
  • Portanto, o arcabouço normativo existente atualmente já contempla dispositivos que asseguram de maneira equilibrada e eficiente a segurança dos cidadãos em ambientes digitais. A existência de um número excessivo de normas e regras que regem a relações nesse ecossistema pode representar uma limitação do processo evolutivo da economia digital e das inovações que podem trazer benefícios para toda a sociedade, ao mesmo tempo que não significam melhor proteção ao direito dos indivíduos.
  • Telefônica entende que o arcabouço normativo atual atende a necessidade individual de segurança, ao mesmo tempo em que assegura a possibilidade de inovação e desenvolvimento de novos negócios e produtos. Qualquer lei ou regulamentação adicional que vier a surgir deve ter em vista que a criação de normas limitadoras pode ferir um dos principais valores fomentados pela economia digital que é a liberdade, e por isso deve adotar um caráter mais principiológico. (grifo nosso)

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: estrela_4_verde

A Vivo obteve estrela cheia, pois atendeu a todos os parâmetros.

No Relatório de Sustentabilidade, a companhia admite haver a possibilidade de o governo pedir certos dados e afirma ter procedimentos para avaliar tais solicitações, o que a faz cumprir o parâmetro I:

Criar e/ou manter processos e procedimentos operacionais para avaliar as solicitações governamentais que possam ter impacto sobre a liberdade de expressão e da privacidade. Dispomos de processo formais para atender as solicitações recebidas por autoridades locais/ governamentais. São de responsabilidade das áreas da Secretaria-geral e Segurança. Em 2015 foi apresentado o Guia de Procedimento para solicitações governamentais e de aplicação para todas as empresas que integram o Grupo Telefónica. (p. 53)

Além disso, a Telefônica, grupo econômico global da qual a Vivo faz parte, publicou pela primeira vez um Informe de Transparência nas Comunicações (do espanhol: Informe de Transparencia en las Comunicaciones 2016). O relatório possui partes separadas dedicadas a cada país no qual a Telefônica está presente, esclarecendo qual o conjunto regulatório ao qual estão sujeitos em cada país e apresentando o número de requerimentos de dados que receberam de autoridades estatais em cada país entre 2013 e 2015.

No Brasil em 2015, foram mais de 326 mil pedidos de interceptações e mais de 1,2 milhão de pedidos por metadados. Por incluir estatísticas acerca da realização de interceptações telefônicas e telemáticas e entrega de metadados, a empresa cumpriu com o parâmetro II.

O InternetLab enaltece a postura da Vivo, já que o documento é inédito para o Brasil e representa um enorme passo para haver uma maior transparência em relação ao fornecimento de informações claras a respeito da contribuição de empresas com autoridades públicas. Ao mesmo tempo, encorajamos a empresa a passar a publicar relatório de transparência em português e a torná-lo mais acessível ao cliente brasileiro em seu website, o que será avaliado nas próximas edições.

CATEGORIA: Notificação do usuário

Resultado: estrela_0_verde

A Vivo não obteve estrela, pois não atendeu ao parâmetro.

Nos contratos, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

FAQ

Como o InternetLab financia suas atividades?

O InternetLab é uma entidade sem fins lucrativos. Não atuamos como consultoria ou escritório de advocacia e só prestamos serviços se eles estiverem afinados com a nossa finalidade, que é fazer pesquisa na área de direito e tecnologia que tenha preocupação com incidência em políticas públicas. Desta forma, o financiamento das nossas atividades vem de fundações, organizações do terceiro setor, empresas e pessoas físicas. Em todos esses casos incidem duas condições: a independência na elaboração e execução dos projetos e a liberdade de manifestar qualquer tipo de análise e postura institucional.

No ano de 2016, nosso financiamento veio 71% de fundações e organizações do terceiro setor internacionais, 28% de empresas e 1% de doações de pessoas físicas.

Como o projeto “QDSD?” foi financiado?

O projeto foi financiado com recursos oriundos de doações de fundações internacionais.

Quem trabalhou no “QDSD?”?

A equipe do InternetLab que trabalhou neste projeto foi a seguinte: Dennys Antonialli (diretor-presidente), Francisco Brito Cruz (diretor), Jacqueline Abreu (coordenadora da área de pesquisa de vigilância e privacidade), Juliana Ruiz (pesquisadora) e Ana Luiza Araujo (estagiária de traduções).

Na EFF trabalharam no projeto Katitza Rodríguez (diretora de direitos internacionais) e Kurt Opsahl (Deputy Executive Director and General Counsel).

A parte de comunicação do projeto foi realizada pela Maria Claudia Levy, da GOMA Oficina, e por Sergio e Bruno Berkenbrock, do MirrorLab.

O projeto se encerrou com a divulgação dos resultados?

Não, o projeto continua. A periodicidade da avaliação realizada no projeto é anual. A cada versão reavaliaremos a metodologia e os resultados, garantindo que eles reflitam quais são as  possibilidades que estão ao alcance das empresas avaliadas para que elas defendam seus dados.

Recomendações para a próxima edição

Para os próximos anos e avaliações, o InternetLab convida as empresas a elaborarem políticas de privacidade que informem usuários sobre o tratamento conferido a dados cadastrais e registros de conexão, nos termos do Marco Civil da Internet, e as formas como lida com ordens judiciais e requisições administrativas para entrega de dados. Também encoraja as empresas a utilizarem suas ‘salas de imprensa’ em seus websites para elencarem suas ações em defesa da privacidade e proteção de dados no Judiciário e em debates públicos. Por fim, também incentiva as empresas a publicarem relatórios de transparência e a adotarem práticas de notificação de usuário.