VER POR:

• /TODOS
• /BANDA LARGA FIXA
• /INTERNET MÓVEL

Informa sobre tratamento de dados Informa sobre condições de entrega de dados a agentes do Estado Defende a privacidade de usuários no Judiciário Adota posicionamento público pró privacidade Publica relatório de transparência sobre pedidos de dados BÔNUS - Notifica usuários sobre pedidos de dados

O InternetLab foi escolhido pela Electronic Frontier Foundation – EFF para realizar a primeira edição da versão brasileira do “Quem defende seus dados?“, baseado em seu projeto Who has your back?, realizado nos Estados Unidos desde 2011.

O “Quem defende seus dados?” visa promover a transparência e a adoção de boas práticas em matéria de privacidade e proteção de dados pelas empresas provedoras de acesso à Internet no Brasil, conscientizando usuários de Internet sobre práticas que afetam a proteção de sua privacidade e dados pessoais.

A periodicidade da avaliação realizada no projeto é anual. A cada versão reavaliaremos a metodologia e os resultados, garantindo que eles reflitam as possibilidades que estão ao alcance das empresas avaliadas para que elas defendam seus dados.

O InternetLab é um centro independente de pesquisa interdisciplinar que promove o debate acadêmico e a produção de conhecimento nas áreas de direito e tecnologia, sobretudo no campo da Internet. Somos uma entidade sem fins lucrativos e atuamos como ponto de articulação entre acadêmicos e representantes dos setores público, privado e da sociedade civil.
A Electronic Frontier Foundation – EFF é uma organização não-governamental pioneira na defesa de direitos digitais. A organização trabalha com tecnólogos, ativistas e advogados para defender a liberdade de expressão online, combater a vigilância ilegal e advogar em nome dos usuários e da inovação.

Como foram escolhidas as empresas avaliadas?

Escolhemos empresas que, a partir de dados divulgados pela Agência Nacional de Telecomunicações em outubro de 2015, possuíssem ao menos 10% do total de acessos à Internet – seja pela infraestrutura de banda larga fixa, seja pela pela infraestrutura de telefonia móvel.  Esse corte garantiu que avaliássemos as empresas responsáveis por cerca de 90% dos acessos em ambas as ocasiões.

No caso da banda larga fixa, as seguintes empresas se enquadraram nesse recorte: NET, Oi, Vivo e GVT. Em Internet móvel, enquadraram-se Claro, Oi, TIM  e Vivo. Inserimos na tabela de resultados a possibilidade de filtro para comparar o desempenho na banda larga fixa ou na Internet móvel.

Como chegamos à metodologia aplicada?

Apesar de ser inspirado no projeto estadunidense “Who Has Your Back?”, o “Quem Defende Seus Dados?” não reproduz exatamente sua metodologia. Isso acontece porque a realidade social (e jurídica!) brasileira é evidentemente diferente da dos EUA, o que implica pensar em categorias e parâmetros próprios.

Elaboramos as categorias e parâmetros de avaliação com base nas seguintes perspectivas:

1. comprometimento público com obediência à lei;
2. adoção de práticas e posturas pró-usuário;
3. transparência sobre as práticas e políticas.

Chegamos aos resultados finais da seguinte forma:

1. Fizemos uma primeira versão adaptada da metodologia e a aplicamos (outubro e novembro de 2015);
2. Com os resultados das empresas em mãos, entramos em contato com elas, pedindo que nos enviassem comentários, críticas ou documentos sobre os métodos e os resultados obtidos (dezembro de 2015);
3. Dialogamos com as empresas e, a partir de seus comentários, ajustamos a metologia e o seu desempenho. Nessa reavaliação da metodologia, categorias e parâmetros foram modificados conforme foram expostos bons argumentos ou práticas por parte das empresas avaliadas (janeiro a março de 2016);
4. Divulgamos publicamente os resultados (abril de 2016).

CATEGORIA: Informações sobre tratamento de dados

O QUE QUEREMOS SABER: O provedor de Internet fornece informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados?

O que a lei brasileira diz?

A legislação brasileira (Marco Civil da Internet, artigo 7º, incisos VI e VIII) garante a usuários o direito a informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados, os quais somente podem ser utilizados para finalidades que estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet. Em face desse direito dos usuários, verificamos os contratos dos provedores de Internet avaliados para ver como se saem.

O termo “dados” é aqui usado em sentido amplo. Engloba tanto os dados cadastrais, que fornecemos para que o serviço seja prestado (nome, endereço, CPF etc), como os registros de cada conexão à Internet. Nesta edição, não fizemos  distinção em razão de pendente regulamentação específica sobre o tema. Estaremos atentos a possíveis diferenças no tratamento de diferentes dados nas  próximas edições.

Quais foram os parâmetros de avaliação?

(I) A companhia fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre;

(II) A companhia fornece informações ou referências legais claras sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização;

(III) A companhia fornece informações ou referências legais claras sobre armazenamento de dados, incluindo por quanto tempo são armazenados, onde são armazenados e quando/se são apagados;

(IV) A companhia fornece informações ou referências legais claras sobre proteção de dados, incluindo quais práticas de segurança observa na guarda de dados, se há política de anonimização de dados e quem teria acesso aos dados;

(V) A companhia fornece informações ou referências legais claras sobre utilização de dados por terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente para tal;

(VI) Há facilidade de acesso a essas informações a partir do site da companhia.

Padrões de desempenho

 O provedor de Internet atende de 5 a 6 parâmetros.

 O provedor de Internet atende de 3 a 4 parâmetros.

 O provedor de Internet atende a 2 parâmetros.

 O provedor de Internet não atende a nenhum ou apenas um dos parâmetros.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

O QUE QUEREMOS SABER: O provedor de Internet promete entregar dados cadastrais e registros de conexão apenas mediante ordem judicial, e dados cadastrais, por requisição, apenas a autoridades administrativas competentes?

O que a lei brasileira diz?

O Marco Civil da Internet, em seu artigo 10, diferencia as possibilidades que autoridades estatais têm para acesso a dados cadastrais e a  registros de conexão.

Os registros de conexão somente podem ser disponibilizados se a entrega for autorizada por ordem judicial (art. 10, §1º). Já os dados cadastrais podem ser disponibilizados diretamente para autoridades administrativas, sem necessidade de ordem judicial, se e quando possuem competência legal para a requisição (art. 10, § 3º). Atualmente, autoridades policiais e do Ministério Público possuem autoridade para requisição de dados cadastrais no âmbito de aplicação da Lei das Organizações Criminosas e da Lei dos Crimes de Lavagem de Dinheiro. Em outros casos, ordem judicial ainda é necessária para entrega de dados cadastrais.

Procuramos avaliar aqui se a empresa, em contrato ou qualquer outro documento oficial disponível para o público, deixa claro a usuários as circunstâncias em que autoridades judiciais ou administrativas podem ganhar acesso a seus dados.

Quais foram os parâmetros de avaliação?

(I) A companhia promete fornecer dados cadastrais por requisição apenas a autoridades administrativas competentes, dentro do escopo da lei em que a prerrogativa para requisição foi instituída.

(II) A companhia promete fornecer dados cadastrais, nos casos não excepcionados, e registros de conexão apenas mediante ordem judicial.

Padrões de desempenho

 O provedor de Internet atende a ambos parâmetros.

 O provedor de Internet atende a um dos parâmetros.

 O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

O QUE QUEREMOS SABER: O provedor de Internet contestou judicialmente pedidos de dados abusivos ou legislação que considera invadir a privacidade de usuários?

O Judiciário é um espaço importante para a defesa de direitos de usuários contra abusos e ilegalidades. Com isto em vista, buscamos avaliar a postura das empresas em processos judiciais em matéria de privacidade e proteção de dados.

Quais foram os parâmetros de avaliação?

(I) A empresa contestou judicialmente legislação que considera invadir a privacidade de usuários de Internet, por ser desproporcional e/ou não estabelecer de modo claro, preciso e detalhado os casos e circunstâncias em que dados devam ser entregues ou as salvaguardas adequadas para inibir abusos (Exemplo: arts. 15, 17 e 21 da Lei das Organizações Criminosas);

(II) A empresa contestou judicialmente pedidos abusivos de acesso a dados de usuários que extrapolavam as prerrogativas legais da autoridade autora do pedido e/ou eram desproporcionais, em razão de sua falta de clareza e precisão sobre dados requeridos e motivação, ou por qualquer outra razão que comprometa o direito à privacidade de usuários.

Padrões de desempenho

 O provedor de Internet atende a ambos parâmetros.

 O provedor de Internet atende a um dos parâmetros.

 O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

O QUE QUEREMOS SABER: O provedor de Internet se posicionou publicamente sobre projetos de lei e políticas públicas que afetam a privacidade dos usuários, defendendo dispositivos que melhoram a proteção desse direito?

Importa muito saber o que as empresas pensam sobre a privacidade de usuários de Internet e seus dados pessoais. Esta categoria pretende avaliar a participação das empresas em debates públicos acerca de leis, projetos de lei e políticas públicas que impactam usuários da rede.

Para esta edição do projeto, acompanhamos as contribuições das empresas nos debates públicos mais importantes do último ano (de janeiro de 2015 até o final de fevereiro de 2016), sendo eles aqueles ligados à regulamentação do Marco Civil da Internet (Ministério da Justiça, CGI.br e ANATEL) e ao Anteprojeto de Lei de Proteção de Dados Pessoais (Ministério da Justiça). Consideramos apenas a participação feitas em nome da própria empresa e não por associações composta por várias empresas – como o SindiTeleBrasil – pois acreditamos na importância da diferenciação entre a postura institucional de cada empresa avaliada separadamente.

Quais foram os parâmetros de avaliação?

(I) A empresa participou de algum dos debates públicos avaliados em seu nome próprio (não são considerados os posicionamentos realizados através de associações das quais a empresa faz parte);

(II) A empresa participou de debate público sobre a regulamentação do Marco Civil da Internet, e, em suas contribuições, não defendeu o aumento no prazo de retenção legal de registros de conexão e/ou de acesso a aplicações;

(III) A empresa participou de debate público sobre a regulamentação do Marco Civil da Internet, e, em suas contribuições, não defendeu a criação de novas obrigações legais de guarda de dados adicionais, para além do já estabelecido;

(IV) A empresa defendeu, em suas contribuições, que a hipótese de requisição de dados cadastrais sem ordem judicial fosse delimitada a hipóteses pré-definidas e/ou realizada a partir da efetiva fundamentação legal e motivação da autoridade competente;

(V) A empresa defendeu, em suas contribuições, que a regulamentação do Marco Civil da Internet estabeleça regras para limitar, de alguma forma, pedidos de guarda de registros de conexão e/ou acesso a aplicação por tempo adicional ao definido na lei, com vistas a restringir que estas medidas pudessem ser utilizadas por tempo indeterminado ou de maneira abusiva;

(VI) A empresa defendeu, em suas contribuições, que o regulamento do Marco Civil da Internet e/ou a Lei de Proteção de Dados Pessoais fomentassem, de alguma forma, o uso de criptografia nas comunicações privadas;

(VII) A empresa defendeu, em suas contribuições, que a Lei de Proteção de Dados Pessoais estabeleça um regime de proteção para dados que passaram por um processo de anonimização, mesmo que o consentimento do titular do dado original não seja exigido nestes casos.

Padrões de desempenho

 O provedor de Internet atende de 6 a 7 parâmetros.

 O provedor de Internet atende de 3 a 5 parâmetros.

 O provedor de Internet atende a até 2 parâmetros.

 O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Relatório de transparência sobre pedidos de dados

O QUE QUEREMOS SABER: A empresa publica relatórios de transparência, informando quantas vezes recebeu pedidos de dados por autoridades estatais e quantas vezes entregou?

Relatórios de transparência são informes emitidos por empresas contendo diversas estatísticas relacionados a pedidos de dados. Eles são um mecanismo cada vez mais adotado ao redor do mundo para informar como e quanto as empresas cooperam com autoridades do Estado, em geral por força de lei, entregando dados para produção de prova em processos cíveis e penais. No exterior a publicação desses relatórios por provedores de aplicações como Google, Facebook, Twitter, e Microsoft, e provedores de conexão à Internet como Vodafone e Verizon já é prática comum.  No Brasil, ela ainda precisa tomar fôlego.

As empresas brasileiras não são legalmente obrigadas a produzir relatórios de transparência, mas a publicação de estatísticas sobre pedidos e exibições de dados, de forma agregada, também não é proibida. Existe, portanto, a oportunidade de mostrar que as empresas se preocupam em nutrir uma relação de confiança com usuários, baseada na transparência.

A minuta do decreto de regulamentação do Marco Civil da Internet cria a obrigação de divulgar estatísticas similares a essas citadas acima (quantidade de requerimentos, autoridades requerentes, etc.) para órgãos do âmbito da administração pública federal, o que reforça a importância da transparência sobre pedidos de dados. Acreditamos que o setor privado possa voluntariamente se apropriar dessa pauta. Em manifestações a Comissões Parlamentares,  empresas já mencionaram a grandeza do número de pedidos que recebem. O ideal é a criação de canais de acompanhamento periódicos dessas informações por usuários, como através da publicação de relatórios de transparência.

Quais foram os parâmetros de avaliação?

(I) Possui relatório de transparência que informe sobre colaboração com autoridades estatais;

(II) Possui relatório de transparência que informe sobre colaboração com autoridades estatais, informando: (i) quantidade de pedidos recebidos e cumpridos por tipo de dado (cadastral ou registro de conexão); (ii) quantidade de pedidos recebidos e cumpridos por autoridade requerente; (iii) quantidade de pedidos recebidos e cumpridos por motivo da autoridade (produção de prova em processo cível, penal ou administrativo, ou investigação criminal e de que tipo).

Padrões de desempenho

 Atende ao segundo parâmetro.

 Atende ao primeiro parâmetro.

 Não atende a nenhum parâmetro.

CATEGORIA BÔNUS: Notificação do usuário

O QUE QUEREMOS SABER: A empresa notifica usuários quando recebe pedidos de dados?

Quando usuários são notificados de que seus dados cadastrais ou registros de conexão à Internet foram requisitados por autoridades administrativas ou judiciais, ampliam-se as suas possibilidades de exercer efetivamente seus direitos de defesa contra abusos e irregularidades.

O impacto de notificações para a garantia da efetiva defesa em um Estado de Direito não é novidade. À luz do princípio constitucional do devido processo, muitas leis estabelecem o dever de notificar atingidos sobre medidas que afetam seus direitos. Pelo Código de Processo Penal brasileiro, por exemplo, quando o juiz recebe um pedido de imposição de medida cautelar contra alguém, cabe a ele avisar o atingido sobre o pedido, para que possa apresentar seus argumentos (art. 282, §3º).

No contexto de pedidos de dados, provedores de Internet ganham papel fundamental na proteção de garantias processuais de usuários afetados. Isso porque a notificação de empresas ao usuário permite, na primeira oportunidade, que o usuário conteste pedidos ilegais  – tanto na forma de ordens judiciais não fundamentadas, quanto de requisições de autoridades administrativas sem competência e embasamento. Como é agora, o usuário depende da contestação feita pelas próprias empresas contra pedidos que elas consideram abusivos. Se notificados pelas empresas, usuários ganhariam a possibilidade de se auto-defenderem contra potenciais violações de sua privacidade.

Tendo isso em mente, achamos importante incentivar a prática de notificação de usuários no QDSD. Em casos de pedidos de dados não acompanhados por obrigação de sigilo, a notificação de empresas ao usuário afetado é, dada a ausência de prescrição legal em sentido contrário, autorizada pela legislação brasileira.

A possibilidade de notificação do usuário pode ser vislumbrada, por exemplo, em casos de pedidos de dados de identificação na justiça cível e no âmbito de pedidos realizados por outros órgãos da Administração, como a Receita Federal ou a ANATEL. Até mesmo no âmbito de processos penais, a notificação prévia à entrega de dados pode ser vista como em regra permitida, quando não haja exigência de sigilo, em respeito aos princípios constitucionais da ampla defesa e ao contraditório, ao reforçar a possibilidade de contestação a produção de provas irrelevantes aos fatos do processo.

Para a edição deste ano, decidimos que esta categoria receberia a denominação especial de “bônus”, pois a notificação não é uma prática difundida no país, nem é dever legal das empresas. É uma medida vista como inovadora e, por exigir pessoal responsável pelas notificações, custosa para as empresas. Por essas razões, nosso entendimento é que a sua adoção revelaria um compromisso a mais com a defesa de direitos de usuários, especialmente digno de ser premiado.  A notificação do usuário, no primeiro momento em que for legalmente possível, e preferencialmente prévio à entrega de dados, colabora com o princípio da ampla defesa, além de fomentar uma cultura de proteção à privacidade.

Qual foi o parâmetro de avaliação?

(I) Promete notificar usuário previamente à entrega de dados cadastrais e registros de conexão, sempre que o sigilo da entrega não estiver imposto por lei, ou no primeiro momento em que a notificação é permitida.

Padrões de desempenho

 Atende ao parâmetro.

 Não atende ao parâmetro.

Para a aplicação da metodologia, consultamos contratos-modelo disponíveis em websites, salas de imprensa e outras manifestações públicas oficiais por escrito das empresas avaliadas. Esses foram os únicos documentos à nossa disposição para avaliar os termos de oferecimento do serviço de acesso à Internet aos usuários nesta primeira edição do QDSD.  Em termos de uso ou em páginas chamadas “Política de Privacidade” não foram encontradas informações relevantes, pois se referem à utilização do próprio website das empresas.

VIVO

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2016/04/VIVO-fixa-BL.pdf

Móvel (pós pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/VIVO-POS.pdf

Móvel (pré pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/Contrato_Adesao_Servico_Vivo_Internet_Pre_Pago_Nacional_VC_Revisto_Jur%C3%ADdico_220714.pdf

Manifestação na Consulta Pública sobre a regulamentação do Marco Civil da Internet (Ministério da Justiça): http://pensando.mj.gov.br/marcocivil/texto-em-debate/minuta/

Consulta pública sobre o Anteprojeto de Lei para a Proteção de Dados Pessoais: http://pensando.mj.gov.br/dadospessoais/wp-content/uploads/sites/3/2015/07/bd75964516e61608ae6d60d4924ea523.pdf

TIM

Móvel (pós pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/TIM-Contrato-SMP_POS.pdf

Móvel (pré pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/Contrato-de-Prestao-de-Servio-Mvel-Pessoal-Pr-Pago.pdf

Manifestação na Consulta Pública sobre a regulamentação do Marco Civil da Internet (Ministério da Justiça): http://pensando.mj.gov.br/marcocivil/texto-em-debate/minuta/

Contribuição para a Consulta Pública sobre a regulamentação do Marco Civil da Internet (CGI.br):  http://marcocivil.cgi.br/docs/contribs/author/Marcelo+Mejias

Consulta pública sobre o Anteprojeto de Lei para a Proteção de Dados Pessoais: http://pensando.mj.gov.br/dadospessoais/texto-em-debate/anteprojeto-de-lei-para-a-protecao-de-dados-pessoais/

CLARO

Móvel (pós pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/CLARO-pos_contrato_de_prestacao_do_servico_movel_pessoal_20140422_1.pdf

Móvel (pré pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/CLARO-contrato_de_prestacao_do_servico_movel_pessoal_na_modalidade_pre-pago_0.pdf

Manifestação na Consulta Pública sobre a regulamentação do Marco Civil da Internet (Ministério da Justiça) http://pensando.mj.gov.br/marcocivil/wp-content/uploads/sites/2/2016/03/08000.0053782016-87-Claro-S.A.-Contribuições-à-Consulta-Pública-do-Decreto-que-regulamenta-o-Marco-Civil-da-Internet-MCI.pdf

Contribuição para a Consulta Pública sobre a regulamentação do Marco Civil da Internet (CGI.br): http://marcocivil.cgi.br/docs/contribs/author/NET-Claro+S+A

Consulta pública sobre o Anteprojeto de Lei para a Proteação de Dados Pessoais http://pensando.mj.gov.br/dadospessoais/wp-content/uploads/sites/3/2015/07/ee0ea88741c82762b4d64890bf043482.pdf

NET

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2016/04/NET-CONTRATO-NET-VIRTUA-Claro-S.A.-SÃO-PAULO-1374091201101.pdf

Contribuição para a Consulta Pública sobre a regulamentação do Marco Civil da Internet (cgi.br): http://marcocivil.cgi.br/docs/contribs/author/NET-Claro+S+A

OI

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2016/04/oi-BL.pdf

Móvel (pós pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/OI-POS-PAGO.pdf

Móvel (pré pago): http://www.internetlab.org.br/wp-content/uploads/2016/04/OI-smp-pre.pdf

GVT

Banda Larga: http://www.internetlab.org.br/wp-content/uploads/2016/04/Contrato-Banda-Large-e-Telefonia-On-net.pdf

VER POR:

• /TODOS
• /BANDA LARGA FIXA
• /INTERNET MÓVEL

Informa sobre tratamento de dados Informa sobre condições de entrega de dados a agentes do Estado Defende a privacidade de usuários no Judiciário Adota posicionamento público pró privacidade Publica relatório de transparência sobre pedidos de dados BÔNUS - Notifica usuários sobre pedidos de dados

CLARO

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

A Claro obteve ¼ de estrela, pois atendeu a dois parâmetros: o de fornecer informações sobre a utilização de dados por terceiros (V) e o de facilidade de acesso às informações (VI). Não há outras informações sobre coleta, uso e tratamento, armazenamento e proteção de dados.

Quanto ao uso de dados por terceiros, os contratos de prestação de Serviço Móvel Pessoal (SMP) sinalizam a quem e em que circunstâncias dados podem ser fornecidas a terceiros.

Modalidade pré-pago:

Cláusula 14.7. Uma vez solicitada pelo ASSINANTE  a Portabilidade do Código de Acesso e atendidos os requisitos e as condições comerciais estabelecidas para tal, o ASSINANTE autoriza, desde já, o fornecimento de seus dados cadastrais para a “Entidade Administradora” e para a “Prestadora Doadora”, assim definidas pela ANATEL, a fim de permitir a conclusão, ou não, de sua solicitação de Portabilidade.

Modalidade pré-pago:

Cláusula 15.6. Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Modalidade pós-pago:

Cláusula 15.4 Todas as informações relativas ao cadastro do Assinante são confidenciais e só serão fornecidas: a) ao Assinante; b) ao representante com Procuração específica; c) à agência de cobrança da Claro; d) à autoridade judicial; e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

O InternetLab considera que as informações sobre uso de dados por terceiros deveriam ser muito mais extensas. Nesta primeira edição do QDSD, enquanto ainda aguardamos a regulamentação do Marco Civil da Internet, contudo, entendemos que a disponibilização de informações deste teor atenderia ao parâmetro (V).

Quanto à facilidade do acesso de informações, na página inicial do sítio eletrônico da Claro (http://www.claro.com.br), no final da página, há um item em que está sinalizado claramente “Contratos e Regulamentos”. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. Por isso foi considerado atendido o parâmetro (VI).

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: 

A Claro obteve ½ estrela, pois atendeu a um parâmetro (II).

Nos contratos, a Claro afirma que poderá fornecer “informações do cadastro do assinante” para autoridades judiciais.

Modalidade pré-pago:

Cláusula 15.6. Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Modalidade pós-pago:

Cláusula 15.4 Todas as informações relativas ao cadastro do Assinante são confidenciais e só serão fornecidas: a) ao Assinante; b) ao representante com Procuração específica; c) à agência de cobrança da Claro; d) à autoridade judicial; e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Nesta primeira edição do QDSD, o InternetLab considerou que a Claro atende ao parâmetro (II). A linguagem do contrato revela o compromisso de entregar dados a autoridades do Estado em geral apenas mediante ordem judicial. Apesar de não fazer menção expressamente a registros de conexão, consideramos dessa vez que o fato de usar o pronome “todas” permite inferir que estão inclusos.

Contudo, nos contratos não há referência às possibilidades de acesso por parte de autoridades administrativas. O art. 10 do Marco Civil da Internet autoriza companhias a fornecerem dados cadastrais diretamente a autoridades administrativas sem ordem judicial, se estas detiverem competência legal para requisição.  Na Reunião Ordinária do dia 24 de novembro de 2015, da CPI dos Crimes Cibernéticos, o Sr. Fábio Andrade (Diretor de Relações Institucionais da Claro/Embratel) afirmou que a Claro atende a ordens judiciais que requerem dados cadastrais e registros de conexão, além de fornecer dados cadastrais a autoridades administrativas (como a polícia e o Ministério Público) nos casos em que a lei determina não haver necessidade de ordem judicial. Como essa informação não está contida nos contratos, nem em qualquer outro documento oficial da empresa dirigido a clientes, o InternetLab considerou que a Claro não cumpriu o parâmetro  (I). Para atender a esse parâmetro nas próximas edições, a Claro deverá ser clara sobre essas circunstâncias em seus contratos com clientes.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A Claro obteve ½ estrela, pois atendeu a um parâmetro (I).

A Claro contestou por ação direta de inconstitucionalidade, junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (Lei nº 12.850/13) no Supremo Tribunal Federal (STF). A justificativa foi que esses artigos violavam o direito à privacidade e intimidade de seus usuários ao permitir que dados pudessem ser entregues diretamente a autoridades policiais, sem a necessidade de ordem judicial. Por isso, atendeu ao parâmetro (I).

Nesse caso, somente consideramos a ação da Claro através de uma entidade de classe pelo fato de as operadoras, individualmente, não terem capacidade de propor uma ação de inconstitucionalidade no STF, de acordo com a Constituição brasileira. Assim, elas necessitam agir através de uma entidade de classe, como a ACEL. Em outros casos em que a participação individual era possível, não consideramos as ações de coletivos nos quais as operadoras participam (ex. a  participação da SindiTelebrasil nos debates envolvendo o Marco Civil da Internet).

Quanto ao parâmetro (II), se a Claro se defendeu ou defendeu usuários de pedidos que considerou abusivos, a companhia não torna público esse tipo de informação. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a Claro não cumpre esse parâmetro.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A Claro obteve ½ estrela, pois atendeu a cinco parâmetros (I, II, III, IV e V).

Encontramos posicionamentos da empresa nos seguintes processos de consulta pública sobre a regulamentação do Marco Civil da Internet (na plataforma do Ministério da Justiça e  na realizada pelo CGI.br) e sobre o Anteprojeto de Lei para a Proteção de Dados Pessoais, na plataforma do Ministério da Justiça. A Claro, portanto, cumpriu o parâmetro (I) (participação nos debates), por ter participado de debates públicos em nome próprio.

A Claro cumpriu os parâmetros (II) (não defender aumento de prazo legal para retenção de dados) e (III) (não defender criação de novas obrigações legais para a guarda de dados), por não defender as pautas elencadas.

Na consulta da CGI.br, a Claro posicionou-se pela necessidade da uniformização dos prazos e dos parâmetros legais e, ainda, afirmou que:

“a regulamentação deve definir o prazo pelo qual os provedores de aplicações devem manter a guarda dos registros além do prazo estabelecido no caput do artigo 15, na hipótese em que não haja uma manifestação do judiciário, (…) Sugere-se que este prazo não seja superior a 180 (cento e oitenta) dias”.

Por isso, atendeu ao parâmetro (V) (regras de limitação a pedido de guarda de dados).

Na Plataforma  do Ministério da Justiça, a companhia defendeu que fossem delimitadas quais as autoridades competentes para requerir dados cadastrais sem ordem judicial:

A Claro sugere alteração da redação do artigo 9o (…):
“Art 9.o As autoridades administrativas [rol de autoridades competentes] indicarão o fundamento de sua competência para o acesso e motivação para o pedido de acesso a dados cadastrais, devendo, o pedido, ser relativo ao âmbito de suas competências e finalidades precícuas.”

Por isso, cumpriu o parâmetro (IV) (delimitação das hipóteses de requerimento de dados cadastrais).

Os parâmetros (VI) (defender o uso de criptografia) e (VII) (defender processo de anonimização de dados)  não foram contemplados nas manifestações da empresa.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A Claro  não obteve estrela, pois não atendeu a nenhum dos parâmetros.

O grupo América Móvil, do qual a Claro faz parte, publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A Claro  não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

NET

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

A NET obteve ¼ de estrela, pois atendeu parcialmente os parâmetros (I) e (III), sobre coleta e armazenamento de dados, e cumpre integralmente o parâmetro (VI), sobre facilidade de acesso a informações.

Sobre coleta de dados, o contrato sinaliza que, ao aderi-lo, o cliente concorda que seus dados integrem o banco de dados da companhia.

Cláusula 20.02. No ato da adesão ao presente contrato, o ASSINANTE autoriza que seus dados pessoais integrem ao banco de dados da PRESTADORA e o envio de informações sobre lançamentos, ofertas especiais e promoções da PRESTADORA ou de outras EMPRESAS, ressalvando-se, a qualquer tempo, o direito do ASSINANTE, que não tiver mais interesse no recebimento das informações, de entrar em contato com a Central de Relacionamento da PRESTADORA e solicitar a exclusão das ações acima referidas.

No entanto, não há mais informações ou mais detalhes sobre essa coleta de dados; a que existe, vista acima, parece se referir à coleta de dados para fins de marketing. Por isso, o InternetLab considerou que a NET cumpriu apenas parcialmente o parâmetro (I).

Sobre armazenamento de dados, a companhia incorpora texto de resolução da ANATEL (Resolução 614/2013, art. 53), com o seguinte teor:

Cláusula 37.01. Dispõem os artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL, que são direitos e deveres dos ASSINANTES:

(…) Art. 47. Sem prejuízo do disposto na legislação aplicável, as Prestadoras de SCM tê a obrigação de:

I – prestar serviço adequado na forma prevista na regulamentação;

II – apresentar à Anatel, na forma e periodicidade estabelecidas na regulamentação e sempre que regularmente intimada, por meio de sistema interativo disponibilizado pela Agência, todos os dados e informações que lhe sejam solicitados referentes ao serviço, inclusive informações técnico-operacionais e econômico-financeiras, em particular as relativas ao número de Assinantes, à área de cobertura e aos valores aferidos pela Prestadora em relação aos parâmetros e indicadores de qualidade;

Art. 52. A Prestadora deve zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados, inclusive registros de conexão, e informações do Assinante, empregando todos os meios e tecnologia necessários para tanto.

Parágrafo único. A Prestadora deve tornar disponíveis os dados referentes à suspensão de sigilo de telecomunicações às autoridades que, na forma da lei, tenham competência para requisitar essas informações.

Art. 53. A Prestadora deve manter os dados cadastrais e os Registros de Conexão de seus Assinantes pelo prazo mínimo de um ano.

No entanto, não há mais informações ou mais detalhes sobre armazenamento de dados além daquilo contido na regulamentação da ANATEL, sobre o que as empresas devem fazer. Não informa, por exemplo, o prazo máximo pelo qual armazenará dados coletados. Por isso, o InternetLab considerou que a NET cumpriu apenas parcialmente o parâmetro (III).

Assim, consideramos como se a empresa tivesse apenas atendido a um parâmetro nos casos de (I) e (III).

Quanto à facilidade de acesso a informações, no final da página inicial da NET (http://www.netcombo.com.br), há um item sobre contratos e regulamentos. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. Por isso foi considerado o atendimento do parâmetro (VI).

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A NET obteve estrela cheia, pois atendeu aos dois parâmetros.

Incorporando texto de resolução da ANATEL, o contrato informa sobre entrega dados a “autoridades competentes” da seguinte maneira:

37.01 Dispõe os artigos 41 a 55 da Resolução 614/2013 da ANATEL, que são direitos e obrigações da PRESTADORA:

Art. 52. A Prestadora deve zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados, inclusive registros de conexão, e informações do Assinante, empregando todos os meios e tecnologia necessários para tanto.

Parágrafo único. A Prestadora deve tornar disponíveis os dados referentes à suspensão de sigilo de telecomunicações às autoridades que, na forma da lei, tenham competência para requisitar essas informações.

Nesta primeira edição do QDSD, o InternetLab considerou que o termo utilizado (“autoridades que, na forma da lei, tenham competência”) é genérico o suficiente para informar que dados poderão ser fornecidos tanto a autoridade judicial quanto autoridade administrativa, quando competentes para fazerem o pedido.

No entanto, ressaltamos que a redação adotada não esclarece ao usuário o fato de existir dados cadastrais e registros de conexão possuírem tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

Nas próximas edições do projeto, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei. Será necessário que a NET informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A NET não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não encontramos nenhuma ação em tribunais, contestando legislação, da qual a NET participasse. Tampouco encontramos ações nas quais defendessem usuários ou contestassem pedidos abusivos. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a NET não cumpre os parâmetros.

Vale mencionar que, ao contrário das demais empresas analisadas que receberam crédito pelo parâmetro (I) por participarem de ação direta de inconstitucionalidade (ADI) via ACEL (Associação Nacional das Operadoras Celulares), contestando artigos da Lei das Organizações Criminosas (Lei nº 12.850/13), a NET é um provedor de Internet banda larga fixa. A ADI em questão é de um coletivo de operadoras de telefonia móvel, as quais são também provedores de Internet móvel. A NET é, contudo, igualmente afetada pelas obrigações dessa lei, o que também poderia ter lhe dado razão para desafiá-la.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A NET obteve ½ estrela, pois atendeu a quatro parâmetros.

Encontramos posicionamentos da NET na consulta pública sobre a regulamentação do Marco Civil da Internet realizada pelo CGI.br. A empresa, portanto, cumpriu o parâmetro (I) (participação nos debates) por ter participado de debates públicos em nome próprio.

A NET atendeu aos parâmetros (II) (não defender aumento de prazo legal para retenção de dados) e (III) (não defender criação de novas obrigações legais para a guarda de dados), por não defender as medidas elencadas.

Em manifestação na plataforma do CGI.org, a NET reiterou que:

a regulamentação deve definir o prazo pelo qual os provedores de aplicações devem manter a guarda dos registros além do prazo estabelecido no caput do artigo 15, na hipótese em que não haja uma manifestação do judiciário, (…) Sugere-se que este prazo não seja superior a 180 (cento e oitenta) dias.

Em face disso, atendeu ao parâmetro (V) (regras de limitação pedido/acesso de guarda de dados).

Consideramos que não foram contemplados os parâmetros (IV) (delimitação das hipóteses de requerimento de dados cadastrais), (VI) (defender o uso de criptografia) e (VII) (defender processo de anonimização de dados) nas manifestações da empresa.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A NET  não obteve estrela, pois não atendeu a nenhum dos parâmetros.

O grupo América Móvil, do qual a NET faz parte, publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A NET  não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

OI

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

Oi Banda Larga Fixa

A Oi não obteve estrela, pois atendeu a apenas um parâmetro (VI).

No contrato analisado, não foi possível encontrar informações sobre tratamento de dados. A companhia afirma que o cliente tem direito ao respeito de sua privacidade e na utilização de seus dados pessoais, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações:

Cláusula 8.9. (…) bem como ao respeito de sua privacidade nesses documentos e na utilização de seus dados pessoais pela Oi, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

No entanto, não há menção a coleta, uso, armazenamento e proteção de dados. Por isso os parâmetros de (I) a (V) não foram atendidos.

Atualmente, há mais facilidade no acesso aos contratos no site da Oi (http://www.oi.com.br/) do que havia em outubro de 2015. Com isso, o parâmetro (VI) é atendido. No entanto, o cumprimento apenas de um parâmetro não é suficiente para ganhar qualquer tipo de pontuação positiva nesta categoria.

Oi Móvel

A Oi não obteve estrela, pois atendeu a apenas um parâmetro (VI).

No contrato analisado, não foi possível encontrar informações sobre tratamento de dados. Por isso os parâmetros de (I) a (V) não foram atendidos.

Atualmente, há mais facilidade no acesso aos contratos no site da Oi (http://www.oi.com.br/) do que havia em outubro de 2015. Com isso, o parâmetro (VI) é atendido. No entanto, o cumprimento apenas de um parâmetro não é suficiente para ganhar qualquer tipo de pontuação positiva nesta categoria.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: 

Oi Banda Larga Fixa

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não puderam ser encontradas referências às circunstâncias em que a Oi entrega dados de clientes a autoridades.

Em Reunião Ordinária do dia 24 de novembro de 2015, da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, o Sr. Marcos Augusto Mesquita Coelho (Diretor de Relações Institucionais da Oi) afirmou que a Oi atende a ordens judiciais que requerem dados cadastrais e registros de conexão, além de fornecer dados cadastrais a autoridades administrativas e policiais (como a polícia e o Ministério Público) nos casos em que a lei determina que não há necessidade de ordem judicial. Contudo, como essa informação não está contida nos contratos, nem em qualquer outro documento oficial da empresa dirigido a clientes,  não consideramos que a companhia cumpriu qualquer um dos parâmetros.

Oi Móvel

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não puderam ser encontradas referências às circunstâncias em que a Oi entrega dados de clientes a autoridades.

Em Reunião Ordinária do dia 24 de novembro de 2015, da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, o Sr. Marcos Augusto Mesquita Coelho (Diretor de Relações Institucionais da Oi) afirmou que a Oi atende a ordens judiciais que requerem dados cadastrais e registros de conexão, além de fornecer dados cadastrais a autoridades administrativas e policiais (como a polícia e o Ministério Público) nos casos em que a lei determina que não há necessidade de ordem judicial. Contudo, como essa informação não está contida nos contratos, nem em qualquer outro documento oficial da empresa dirigido a clientes,  não consideramos que a companhia cumpriu qualquer um dos parâmetros.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A Oi obteve ½ estrela, pois atendeu a um parâmetro (I).

A Oi contestou por ação direta de inconstitucionalidade, junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (Lei nº 12.850/13) no Supremo Tribunal Federal (STF). A justificativa foi que esses artigos violavam o direito à privacidade e intimidade de seus usuários ao permitir que dados pudessem ser entregues diretamente a autoridades policiais, sem a necessidade de ordem judicial. Por isso, atendeu ao parâmetro (I).

Nesse caso, somente consideramos a ação da Oi através de uma entidade de classe pelo fato de as operadoras, individualmente, não terem capacidade de propor uma ação de inconstitucionalidade no STF, de acordo com a Constituição brasileira. Assim, elas necessitam agir através de uma entidade de classe, como a ACEL. Em outros casos em que a participação individual era possível, não consideramos as ações de coletivos nos quais as operadoras participam (ex. a  participação da SindiTelebrasil nos debates envolvendo o Marco Civil da Internet).

Quanto ao parâmetro (II), se a Oi se defendeu ou defendeu usuários de pedidos que considerou abusivos, aparentemente a companhia não torna público esse tipo de informação. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a Oi não cumpre esse parâmetro.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não foi possível identificar a participação da Oi em nenhum dos debates analisados.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A Oi não obteve estrela, pois não atendeu a nenhum dos parâmetros.

A Oi publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A Oi não obteve estrela, pois não atendeu ao parâmetro.
Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

TIM

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

A TIM obteve ¼ de estrela, pois atendeu a dois parâmetros: o de fornecer informações sobre finalidade de uso dos dados (V) e o de facilidade de acesso às informações (VI). Não há outras informações sobre coleta, tratamento, armazenamento e proteção de dados.

Os contratos analisados afirmam que a companhia irá respeitar a inviolabilidade e sigilo das comunicações de seus clientes, ressalvadas as hipóteses constitucionais e legais de quebra de sigilo e a hipótese de disponibilização de informações para fins estatísticos.

Modalidade pós-pago:

Cláusula 3.5. São assegurados ao CLIENTE os direitos estabelecidos na regulamentação do SMP e na legislação vigente, tais como:
(…)f) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

Modalidade pré-pago:

Cláusula 3.3. São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como:

(…)g) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

O InternetLab considera positivo que a TIM informe seus clientes de que suas informações serão usadas para fins estatísticos. Nesta primeira edição, enquanto aguardamos a regulamentação do Marco Civil da Internet, consideramos que o parâmetro (II) foi cumprido: menos pela completude das informações – o que a TIM não oferece, mais pela distinção. É a única empresa que inclui informação deste tipo.

Quanto à facilidade de acesso, é simples encontrar os contratos no site da TIM (http://www.tim.com.br/). Durante a fase de engajamento com as empresas, a TIM também informou ao InternetLab que fornece uma cópia do contrato no momento da compra e no aplicativo para celular para seus usuários. Por isso foi considerado atendido o parâmetro (VI).

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: 

A TIM obteve estrela cheia, pois atendeu aos dois parâmetros.

Os contratos da TIM analisados adotam a seguinte linguagem:

Modalidade pós-pago:

Cláusula 10.12. A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

Modalidade pré pago:

Cláusula 10.4 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

Nesta primeira edição do QDSD, o InternetLab considerou que o termo utilizado (“autoridades competentes”) é genérico o suficiente para informar que dados poderão ser fornecidos tanto a autoridade judicial quanto autoridade administrativa, quando competentes para fazerem o pedido.

No entanto, ressaltamos que a redação adotada não esclarece ao usuário o fato de existir dados cadastrais e registros de conexão possuírem tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais as “autoridades competentes” (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) nem as condições (Ordem judicial? Mera requisição?) em que podem ter acesso a dados. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

Nas próximas edições do projeto, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei. Será necessário que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A TIM obteve estrela cheia, pois atendeu aos dois parâmetros.

A TIM contestou por ação direta de inconstitucionalidade, junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (Lei nº 12.850/13) no Supremo Tribunal Federal (STF). A justificativa foi que esses artigos violavam o direito à privacidade e intimidade de seus usuários ao permitir que dados pudessem ser entregues diretamente a autoridades policiais, sem a necessidade de ordem judicial. Por isso, atendeu ao parâmetro (I).

Nesse caso, somente consideramos a ação da TIM através de uma entidade de classe pelo fato de as operadoras, individualmente, não terem capacidade de propor uma ação de inconstitucionalidade no STF, de acordo com a Constituição brasileira. Assim, elas necessitam agir através de uma entidade de classe, como a ACEL. Em outros casos em que a participação individual era possível, não consideramos as ações de coletivos nos quais as operadoras participam (ex. a  participação da SindiTelebrasil nos debates envolvendo o Marco Civil da Internet).

Quanto ao parâmetro (II), a TIM forneceu ao InternetLab, durante a fase de engajamento com as operadoras, dois exemplos de ações nas quais contesta pedidos que considerou abusivos perante o poder público. Por essa razão, consideramos ter cumprido o parâmetro.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A TIM obteve ½ estrela, pois atendeu a cinco parâmetros (I, II, III, IV e V).

Quanto ao cumprimento do quesito (I) (participação nos debates), consideramos o fato de a empresa ter participado de diversos debates públicos em nome próprio, como a segunda fase da consulta de regulamentação do Marco Civil da Internet e  a consulta pública promovida pela CGI.br sobre o Marco Civil.

A TIM cumpriu os parâmetros (II) (não defender aumento de prazo legal para retenção de dados) e (III) (não defender criação de novas obrigações legais para a guarda de dados), por não defender as medidas elencadas.

Na segunda fase de regulamentação do Marco Civil, a TIM sugeriu que fosse adicionado novo parágrafo no art. 9, o qual versa:

Art. 9º As autoridades administrativas a que se refere o art. 10, § 3º, da Lei nº 12.965, de 2014, indicarão o fundamento legal de sua competência para o acesso e motivação para o pedido de acesso a dados cadastrais.

O novo parágrafo sugerido pela TIM teria como objetivo afirmar que as autoridades administrativas não poderiam fazer pedidos que não estiverem amparados em lei (por exemplo, os pedidos devem estar previstos nas hipóteses da Lei de Organizações Criminosas). Dessa forma, a sugestão da empresa faz com que aumente o ônus da autoridade administrativa, tornando mais difícil a arbitrariedade ou abuso de autoridade nos pedidos feitos sem ordem judicial. Além disso, na consulta do CGI, a TIM também pediu para que houvesse uma definição mais clara de quem seriam as autoridades administrativas habilitadas pelo Marco Civil para requerer dados cadastrais sem ordem judicial:

Relevante especificar quais são as “autoridades administrativas” que detém competência legal para solicitar o acesso aos dados cadastrais, independentemente de ordem judicial, a fim de trazer maior segurança a todos os que podem de algum modo ser afetado, especialmente sob a consideração de que é necessário garantir quem receberá os dados detém a segurança necessária para evitar quaisquer incidentes envolvendo vazamento de dados de terceiros. Ademais, importante que essa entrega somente seja efetivada, desde que se esteja diante de situação de violação de dispositivo legal.

A TIM atendeu, portanto, ao parâmetro (IV) (delimitação das hipóteses de requerimento de dados cadastrais).

Ainda na consulta pública promovida pelo CGI, a TIM sugere dar um “limite ao prazo suplementar de guarda de dados”, pedido através de medidas cautelares previstas no Marco Civil da Internet (arts. 12 e 13). O tempo sugerido é o de 5 anos.

Entendemos que a norma deve especificar qual o prazo máximo de extensão para guarda dos dados de registros de conexão ou de acesso a aplicação mediante solicitação de Autoridade Policial ou de membro do Ministério Público, a fim de evitar a obrigação de guarda por tempo indeterminado. Sugerimos que o prazo seja limitado à prescrição definida no Código Civil, ou seja, cinco anos.

Este posicionamento atinge o parâmetro (V) (regras de limitação a pedidos de guarda de dados).

A TIM não atendeu aos parâmetros (VI) (defender o uso de criptografia) e (VII) (defender processo de anonimização de dados), pois não foi encontrada nenhuma contribuição sobre esses assuntos.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A TIM não obteve estrela, pois não atendeu a nenhum parâmetro.

A TIM publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A TIM não obteve estrela, pois não atendeu a nenhum parâmetro.

Nos materiais analisados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

VIVO

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

Vivo Banda Larga Fixa

A Vivo não obteve estrela, pois não atendeu a nenhum parâmetro.

No contrato analisado, não foram encontradas informações sobre tratamento de dados. Apenas é mencionado, de forma geral, que a empresa se compromete a zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do contratante:

Cláusula 5.2.9 Zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do CONTRATANTE, empregando todos os meios e tecnologia necessárias para assegurar este direito.

Por isso, os parâmetros de (I) a (V) não foram atendidos.

Em relação ao acesso a informações, não há facilidade para acesso aos contratos no site e, quando os encontramos, eles não estão identificados de forma clara. Por isso, o parâmetro (VI) não foi atendido.

Vivo Móvel

A Vivo não obteve estrela, pois não atendeu a nenhum parâmetro.

No contrato analisado, não foram encontradas informações sobre tratamento de dados. Também não há facilidade de acesso a informações. Nenhum dos parâmetros (I a VI) foram atendidos.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: 

Vivo Banda Larga Fixa

A Vivo não obteve estrela, pois não atendeu a nenhum parâmetro. Não encontramos nenhuma menção a essas informações nos documentos analisados.

Em Reunião Ordinária do dia 24 de novembro de 2015, da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, o Sr. Enylson Flávio Martinez Camolesi (Diretor de Relações Institucionais da Telefonica/Vivo) afirmou que a Vivo atende a ordens judiciais para pedidos de dados e registros de conexão, além de fornecer dados cadastrais à autoridades administrativas em casos de investigações criminais. Contudo, como essa informação não está no contrato nem em outro documento destinado a clientes, não consideramos que a companhia atingiu qualquer um dos parâmetros.

Vivo Móvel

A Vivo não obteve estrela, pois não atendeu a nenhum parâmetro. Não encontramos nenhuma menção a essas informações nos documentos analisados.

Em Reunião Ordinária do dia 24 de novembro de 2015, da Comissão Parlamentar de Inquérito (CPI) dos Crimes Cibernéticos, o Sr. Enylson Flávio Martinez Camolesi (Diretor de Relações Institucionais da Telefonica/Vivo) afirmou que a Vivo atende a ordens judiciais para pedidos de dados e registros de conexão, além de fornecer dados cadastrais à autoridades judiciais em casos de investigações criminais. Contudo, como essa informação não está no contrato nem em outro documento destinado a clientes, não consideramos que a companhia atingiu qualquer um dos parâmetros.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A Vivo obteve ½ estrela, pois atendeu a um parâmetro (I).

A Vivo contestou por ação direta de inconstitucionalidade, junto de outras operadoras via ACEL (Associação Nacional das Operadoras Celulares), artigos da Lei das Organizações Criminosas (Lei nº 12.850/13) no Supremo Tribunal Federal (STF). A justificativa foi que esses artigos violavam o direito à privacidade e intimidade de seus usuários ao permitir que dados pudessem ser entregues diretamente a autoridades policiais, sem a necessidade de ordem judicial. Por isso, atendeu ao parâmetro (I).

Nesse caso, somente consideramos a ação da Claro através de uma entidade de classe pelo fato de as operadoras, individualmente, não terem capacidade de propor uma ação de inconstitucionalidade no STF, de acordo com a Constituição brasileira. Assim, elas necessitam agir através de uma entidade de classe, como a ACEL. Em outros casos em que a participação individual era possível, não consideramos as ações de coletivos nos quais as operadoras participam (ex. a  participação da SindiTelebrasil nos debates envolvendo o Marco Civil da Internet).

Quanto ao parâmetro (II), se a Vivo se defendeu ou defendeu usuários de pedidos que considerou abusivos, aparentemente a companhia não torna público esse tipo de informação. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a Vivo não cumpre esse parâmetro.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A Vivo obteve ½ estrela, pois atendeu a quatro parâmetros (I, II, III, IV).

Encontramos posicionamentos da Vivo nos processos de consulta pública sobre a regulamentação do Marco Civil da Internet (na plataforma do Ministério da Justiça) e  sobre o Anteprojeto de Lei para a Proteção de Dados Pessoais (na plataforma do Ministério da Justiça).

Por ter participado de diversos debates públicos em nome próprio, a Vivo cumpriu o parâmetro (I) (participação nos debates).

A Vivo preencheu os parâmetros (II) (não defender aumento de prazo legal para retenção de dados) e (III) (não defender criação de novas obrigações legais para a guarda de dados), por não defender as medidas que elencadas.

Na 2ª fase de regulamentação do Marco Civil, a Vivo afirmou que deveria ser explicitado:

O rol indicativo das autoridades administrativas, as quais faz referência o presente artigo, tendo em vista que o disposto no Artigo 10.º § 3º da Lei n.º 12965 de 23 de Abril de 2014, também não as elenca. Ao mesmo tempo, necessário se faz explicitar que, além da indicação do fundamento legal que garante a competência na obtenção das informações e da respectiva motivação necessária, também é preciso que a autoridade administrativa solicitante se atenha a obter informações que atendam suas finalidades precípuas.

Além disso, a Vivo propôs novo artigo cujo objetivo seria incluir expressamente as “autoridades competentes” e exigir fundamentação do pedido por dados cadastrais:

Art. 9.º As autoridades administrativas [rol de autoridades competentes] indicarão o fundamento legal de sua competência para o acesso e motivação para o pedido de acesso a dados cadastrais, devendo, o pedido, ser relativo ao âmbito de suas competências e finalidades precípuas.

Em face disso, atendeu ao parâmetro (IV) (delimitação das hipóteses de requerimento de dados cadastrais).

Os parâmetros (V) regras de limitação pedido/acesso de guarda de dados), (VI) (defender o uso de criptografia) e (VII) (defender processo de anonimização de dados) não foram contemplados nas manifestações da empresa.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A Vivo não obteve estrela, pois não atendeu aos parâmetros.

O grupo Telefónica, do qual a Vivo faz parte, publica relatório de sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A Vivo não obteve estrela, pois não atendeu ao parâmetro.

Nos contratos, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

GVT

CATEGORIA: Informações sobre tratamento de dados

Resultado: 

A GVT não obteve estrela, pois não atendeu a nenhum parâmetro. Não foram encontradas informações sobre coleta, uso, armazenamento e proteção de dados.

Em seu contrato, a companhia afirma que o cliente tem direito à privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela GVT :

Cláusula 4.3, o. Zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do ASSINANTE, empregando todos os meios e tecnologia necessários para assegurar este direito dos usuários.

No entanto, não especifica qual tipo de proteção será dada a esses dados. Por isso, sequer o parâmetro (IV), que exige informações sobre proteção de dados (práticas de segurança e políticas de acesso, por exemplo) pode ser considerado atendido.

Não havia facilidade no acesso aos contratos no site da companhia até o início de março de 2016 (https://assine.gvt.com.br/). Na primeira página não há nenhuma referência à área na qual os contratos podem ser encontrados, sendo necessário vasculhar a parte “banda larga” do site  para acessá-los. É importante apontar que na versão do site até o dia 12 de outubro de 2015 era consideravelmente mais fácil ter acesso a esse tipo de informação. Dessa forma, com a reformulação de sua página eletrônica, a GVT passou a não mais atender o parâmetro (VI).

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado: 

A GVT obteve estrela cheia, pois atendeu aos dois parâmetros.

O contrato da GVT analisado adota a seguinte linguagem:

14.3 (…) a Receptora não terá qualquer obrigação de preservar o sigilo relativo à informação que: a) era de seu conhecimento antes desta contratação, e a informação foi obtida sem sujeição a qualquer obrigação de sigilo; b) for revelada a terceiros pela Reveladora, com isenção de restrições; c) estiver publicamente disponível; d) for total e independentemente desenvolvida pela Receptora; ou e) tenha sido exigida por ordem judicial ou administrativa.

Nesta primeira edição do QDSD, o InternetLab considerou que a linguagem da “isenção de responsabilidade” quando “informação” for exigida por “ordem judicial ou administrativa” é  suficiente para informar que dados poderão ser fornecidos tanto a autoridade judicial quanto autoridade administrativa, quando competentes para fazerem o pedido.

No entanto, ressaltamos que a redação adotada não esclarece ao usuário o fato de existir dados cadastrais e registros de conexão possuírem tratamento jurídico diferenciado. Dados cadastrais podem ser requisitados sem ordem judicial a autoridades administrativas competentes. Atualmente, são elas  autoridades policiais e agentes do Ministério Público no âmbito das leis das Organizações Criminosas (Lei 12.850/13, arts. 15 e 17) e de Lavagem de dinheiro (Lei 9.613/99, art. 17-B, adicionado pela Lei 12.683/12). Registros de conexão, contudo, apenas podem ser fornecidos mediante ordem judicial; não podem ser entregues a autoridades administrativas diante de mera requisição.

O cliente sem conhecimento técnico não sabe quais autoridades (Judiciário? Polícia? ANATEL? Receita Federal? Ministério Público?) podem ter acesso a dados, e quais tipos de dados (informações cadastrais? registros de conexão?), por “ordem judicial ou administrativa”. A linguagem jurídica é árida e o próprio Marco Civil indica que as empresas devem fornecer informações claras para seus clientes.

Nas próximas edições do projeto, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger dados conforme as nuances existentes em lei. Será necessário que a GVT informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado: 

A GVT não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não encontramos nenhuma ação em tribunais, contestando legislação, da qual a GVT participasse. Tampouco encontramos ações nas quais defendessem usuários ou contestassem pedidos abusivos. Também não foram fornecidas ao InternetLab informações dessa natureza na fase de engajamento com as empresas. Assim, por falta de evidência material, foi considerado que a GVT não cumpre os parâmetros.

Vale mencionar que, ao contrário das demais empresas analisadas que receberam crédito pelo parâmetro (I) por participarem de ação direta de inconstitucionalidade (ADI) via ACEL (Associação Nacional das Operadoras Celulares), contestando artigos da Lei das Organizações Criminosas (Lei nº 12.850/13), a GVT é um provedor de Internet banda larga fixa. A ADI em questão é de um coletivo de operadoras de telefonia móvel, as quais são também provedores de Internet móvel. A GVT é, contudo, igualmente afetada pelas obrigações dessa lei, o que também poderia ter lhe dado razão para desafiá-la.

CATEGORIA: Posicionamento público pró-privacidade

Resultado: 

A GVT  não obteve estrela, pois não atendeu aos parâmetros.

Não foi possível identificar a participação da GVT em nenhum dos debates.

CATEGORIA:  Relatório de transparência sobre pedidos de dados

Resultado: 

A GVT  não obteve estrela, pois não atendeu aos parâmetros. Não foi encontrado nenhum relatório de transparência elaborado pela empresa.

CATEGORIA BÔNUS: Notificação do usuário

Resultado: 

A GVT  não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Acreditamos que construir canais de diálogos com as empresas avaliadas é fundamental para o sucesso do projeto, visto que um de seus objetivos é estimular a adoção de boas práticas. Por isso, mandamos a primeira versão do projeto para as empresas em 11/12/15 e oferecemos oportunidades para que pudessem: (i) manifestar suas considerações sobre a metodologia e os critérios utilizados no projeto; (ii) enviar materiais para complementar a pesquisa; e (iii) apresentar pontos de discordância quanto a avaliação.

É importante ressaltar que, as decisões finais foram do InternetLab, levando em consideração os argumentos e novos materiais apresentados pelas empresas.

-critérios

O projeto QDSD avaliou provedores de acesso à Internet com base nas seguintes perspectivas:

1. comprometimento público com obediência à lei;
2. transparência sobre as práticas e políticas;
3. adoção de práticas e posturas pró-usuário.

O QDSD visa avaliar como as empresas reagem a proteções a usuários estabelecidas em leis. O Marco Civil da Internet exige, por exemplo, que provedores de Internet disponibilizem informações claras e completas sobre tratamento que provedores de Internet conferem a dados pessoais de usuários. Esse dispositivo pretende garantir transparência da empresa ao cliente sobre as práticas que adota. Em face disso, procuramos nos documentos oficiais das empresas como respondem a esse dever legal. Se e quando encontramos tais informações, a empresa é premiada com uma estrela.

Nesse mesmo sentido, também avaliamos se as empresas prometem entregar dados cadastrais e dados relativos a registros de comunicações (endereços de IP e logs de acesso) segundo os termos estabelecidos pelo Marco Civil. Quando o teor da lei se reflete no comprometimento público das empresas com seus clientes, ela recebe estrela. Da mesma forma, quando a empresa desafia pedidos abusivos, fora dos padrões legais, também é prestigiada com estrela.

À base do QDSD está, portanto, o incentivo à transparência sobre práticas e políticas adotadas pelas empresas. Com o mesmo propósito em mente, e, considerando a crescente dependência de policiais e promotores, no âmbito de investigações, em relação a provedores de Internet, era fundamental estimular transparência sobre as formas como ocorrem a colaboração. Assim, o QDSD avaliou se as empresas publicam relatórios de transparência em que informam sobre pedidos de dados que recebem de agentes do Estado, por exemplo. Se e quando tais materiais são encontrados, a empresa ganha estrela.

Por fim, ao lado de comprometimento com a lei e transparência, o QDSD avaliou o engajamento de empresas com práticas e políticas pró-privacidade do usuário. Quando a empresa se posiciona em debates públicos sobre leis e regulamentos que afetam a privacidade de usuários, defendendo mais garantias ao usuário, ela é premiada com estrela. Como tentativa de incentivar uma prática ainda considerada inovadora no Brasil, também avaliamos se a empresa notifica usuários acerca de pedidos e entregas de dados. O objetivo aqui é reforçar as possibilidades de defesa de usuários contra pedidos sem fundamento legal. Quando a empresa notifica usuários, sempre que ausente proibição legal, ganha estrela.

–

Quando avaliamos informações sobre tratamentos de dados e entrega de dados demandados por autoridades policiais, avaliamos se, em algum documento oficial, as empresas indicam que obedecem às leis que regulam tais práticas. O Marco Civil da Internet, por exemplo, exige que provedores de Internet disponibilizem informações claras e completas sobre tratamento que empresas conferem a dados. Assim, verificamos se, em algum lugar, poderíamos encontrar tais informações e, em caso positivo, a empresa ganharia uma estrela.

Quando avaliamos No segundo grupo, estão os critérios que tentam medir se a empresa é transparente quanto a suas práticas de proteção de privacidade em relação ao público. Ou seja, se publica relatórios de transparência com …, como a empresa interpreta as leis que determinam a violação da privacidade de usuário quando há termos muito amplos etc. Os critérios que avaliam esse aspecto são o 2 e 3.

No terceiro e último grupo, encontramos critérios sobre as práticas de privacidade e posturas pró-usuário das empresas. Avaliamos, por exemplo, quais foram os posicionamentos das empresas em debates públicos sobre a regulamentação do Marco Civil e do Anteprojeto da Lei de Proteção de Dados Pessoais – a empresa se posicionou de forma a garantir mais direitos para o usuário? Defendeu práticas que podem proteger a privacidade? Os critérios que avaliam esse aspecto são 4, 5 e o bônus.