/Nosso método

Como foram escolhidas as empresas avaliadas?

Nesta terceira edição, escolhemos empresas que, a partir de dados divulgados pela Agência Nacional de Telecomunicações em maio de 2017, possuíssem ao menos 1% do total de acessos à Internet no Brasil – seja pela infraestrutura de banda larga fixa, seja pela pela infraestrutura de telefonia móvel. Anteriormente, considerávamos apenas as que possuíam mais que 10% da distribuição de acessos.

No caso da banda larga fixa, as seguintes empresas se enquadraram nesse recorte: NET, Oi, Vivo, Sky e Algar. Em Internet móvel, enquadraram-se Claro, Oi, TIM, Vivo e Nextel. Inserimos na tabela de resultados a possibilidade de filtro para comparar o desempenho na banda larga fixa ou na Internet móvel. É a primeira vez que avaliamos Algar, Nextel e Sky e a terceira que avaliamos Claro, NET, Oi, Vivo e TIM.

Como chegamos à metodologia aplicada?

Apesar de ser inspirado no projeto estadunidense “Who Has Your Back?”, o “Quem Defende Seus Dados?” não reproduz exatamente sua metodologia. Isso acontece porque a realidade social (e jurídica!) brasileira é evidentemente diferente da dos EUA, o que implica pensar em categorias e parâmetros próprios.

Elaboramos as categorias e parâmetros de avaliação com base nas seguintes perspectivas:

comprometimento público com obediência à lei;
adoção de práticas e posturas pró-usuário;
transparência sobre as práticas e políticas.

Chegamos aos resultados finais da seguinte forma:

Revisamos a primeira versão adaptada da metodologia e a aplicamos (novembro e dezembro de 2017);
Com os resultados das empresas em mãos, entramos em contato com elas, pedindo que nos enviassem comentários, críticas ou documentos sobre os métodos e os resultados obtidos (dezembro de 2017);
Dialogamos com as empresas e, a partir de seus comentários, ajustamos a metodologia e o seu desempenho. Nessa reavaliação da metodologia, categorias e parâmetros foram modificados conforme foram expostos bons argumentos ou práticas por parte das empresas avaliadas (janeiro a março de 2018);
Divulgamos publicamente os resultados (abril de 2018).

Para esta avaliação, foram analisados os contratos de prestação de serviço, relatórios de sustentabilidade e demais documentos que estavam disponíveis nos websites das empresas até a terceira semana de novembro (21/11/2017). Também procuramos e analisamos notícias que circularam na grande imprensa e mídia especializada. Para a categoria 4, também buscamos julgados disponíveis no Tribunal de Justiça de São Paulo. Após contato com as empresas, aquelas que se engajaram com o projeto nos enviaram respostas e/ou documentos adicionais, os quais foram considerados para a consolidação dos resultados.

CATEGORIA: Informações sobre tratamento de dados

O QUE QUEREMOS SABER: O provedor de Internet fornece informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados?

O que a lei brasileira diz?

A legislação brasileira (Marco Civil da Internet, artigo 7º, incisos VI e VIII) garante a usuários o direito de ter acesso a informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados, os quais somente podem ser utilizados para finalidades que estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet.

Além disso, quanto à proteção de dados, o art. 16 do Decreto no 8.771/2016 (decreto que regulamenta alguns aspectos do Marco Civil da Internet) também determina que informações sobre padrões de segurança devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente em seus sites.

Assim, diante desses direitos dos usuários, analisamos os contratos dos provedores de acesso à Internet e outros documentos e informações publicamente acessíveis, especialmente aquelas constantes dos sites das empresas, para verificar em que medida essas exigências legais estão sendo cumpridas.

É importante ressaltar que o termo “dados” é utilizado em sentido amplo, englobando tanto dados cadastrais como registros de conexão.

Quais foram os parâmetros de avaliação?

(I) A empresa fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre;

(II) A empresa fornece informações ou referências legais claras sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização;

(III) A empresa fornece informações ou referências legais claras sobre armazenamento de dados, incluindo por quanto tempo são armazenados, onde são armazenados e quando/se são apagados;

(IV) A empresa fornece informações ou referências legais claras sobre proteção de dados, incluindo quais práticas de segurança observa na guarda de dados, se há política de anonimização de dados e quem teria acesso aos dados, observando também o disposto no art. 16 do Decreto no 8.771/2016;

(V) A empresa fornece informações ou referências legais claras sobre utilização de dados por terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente para tal;

(VI) Há facilidade de acesso a essas informações a partir do site da empresa.

Padrões de desempenho

O provedor de Internet atende de 5 a 6 parâmetros.

O provedor de Internet atende de 3 a 4 parâmetros.

O provedor de Internet atende a 2 parâmetros.

O provedor de Internet não atende a nenhum ou apenas um dos parâmetros.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

O QUE QUEREMOS SABER: O provedor de Internet promete entregar dados cadastrais e registros de conexão apenas mediante ordem judicial, e dados cadastrais, por requisição, apenas a autoridades administrativas competentes?

O que a lei brasileira diz?

O Marco Civil da Internet, em seu artigo 10, diferencia as hipóteses nas quais autoridades públicas podem ter acesso a dados cadastrais e a registros de conexão.

Os registros de conexão somente podem ser disponibilizados para o requisitante se a entrega for autorizada por ordem judicial (art. 10, §1º). Já os dados cadastrais podem ser disponibilizados diretamente para autoridades administrativas, sem necessidade de ordem judicial, se e quando possuem competência legal para a requisição (art. 10, § 3º). Além disso, o art. 11 do Decreto no 8.771/2016, que regulamenta alguns aspectos do Marco Civil da Internet, determina que a autoridade administrativa deve indicar no pedido o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.

Atualmente, autoridades policiais e do Ministério Público possuem autoridade para requisição de dados cadastrais no âmbito de aplicação da Lei das Organizações Criminosas e da Lei dos Crimes de Lavagem de Dinheiro. Nesse sentido, a interpretação mais protetiva para a privacidade dos usuários encara como sendo essas as duas únicas autoridades administrativas investidas de competência legal para requisitar dados cadastrais sem ordem judicial no âmbito de investigações destes crimes. Em outros casos, a ordem judicial ainda seria necessária para a entrega de dados cadastrais.

Apesar disso, algumas autoridades policiais, em razão da Lei nº 12.830/2013, que dispõe sobre a investigação criminal conduzida pelo delegado de polícia, reivindicam autoridade de requisitar informações, independentemente do crime investigado (art. 2, §2º). A questão foi levada ao Supremo Tribunal Federal. Até que a controvérsia seja pacificada, o InternetLab cobrará transparência das empresas sobre quais autoridades considera competentes para requisitar dados cadastrais e em que circunstâncias. Este ponto, inclusive, gerou alteração da redação dos parâmetros de avaliação desta categoria, comparado a anos anteriores.

Assim, procuramos avaliar aqui se a empresa, em seu contrato ou qualquer outro documento oficial disponível para o público, deixa claro aos seus usuários quais as circunstâncias em que autoridades judiciais ou administrativas podem ganhar acesso a seus dados.

Quais foram os parâmetros de avaliação?

(I) A companhia promete obedecer a legislação vigente ao fornecer dados de clientes a autoridades públicas.

(II) A companhia promete fornecer dados cadastrais por requisição (sem ordem judicial) a autoridades administrativas competentes.

(III) A companhia promete fornecer dados cadastrais por requisição (sem ordem judicial) apenas a autoridades administrativas competentes, identificando-as. Em outros casos, exige ordem judicial.

(IV) A companhia promete fornecer registros de conexão apenas mediante ordem judicial.

Padrões de desempenho

O provedor de Internet atende a todos os parâmetros.

O provedor de Internet atende a três parâmetros.

O provedor de Internet atende a dois parâmetros.

O provedor de Internet atende a apenas um parâmetro.

O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

O QUE QUEREMOS SABER: O provedor de Internet contestou judicialmente pedidos de dados abusivos ou legislação que considera invadir a privacidade de usuários?

O Judiciário é um espaço importante para a defesa e consolidação de direitos de usuários contra abusos e ilegalidades. Com isto em vista, buscamos avaliar o posicionamento das empresas em processos judiciais em matéria de privacidade e proteção de dados.

Quais foram os parâmetros de avaliação?

(I) A empresa contestou judicialmente legislação que considera invadir a privacidade de usuários de Internet, por ser desproporcional e/ou não estabelecer de modo claro, preciso e detalhado os casos e circunstâncias em que dados devam ser entregues ou as salvaguardas adequadas para inibir eventuais abusos (Exemplo: arts. 15, 17 e 21 da Lei das Organizações Criminosas; art. 2, §2º da Lei 12.630/13; arts. 13-A e 13-B do Código de Processo Penal);

(II) A empresa contestou judicialmente pedidos abusivos de acesso a dados de usuários, ou seja, aqueles que extrapolavam as prerrogativas legais da autoridade autora do pedido e/ou eram desproporcionais, em razão de sua falta de clareza e precisão sobre dados requeridos e motivação, ou por qualquer outra razão que comprometa o direito à privacidade de usuários. O Decreto nº 8.771/2016 estabelece que as autoridades administrativas devem indicar o fundamento legal de sua competência, a motivação do pedido de dados e que são vedados pedidos coletivos que sejam genéricos ou inespecíficos.

Padrões de desempenho

O provedor de Internet atende a ambos parâmetros.

O provedor de Internet atende a um dos parâmetros.

O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

O QUE QUEREMOS SABER: O provedor de Internet se posicionou publicamente sobre projetos de lei e políticas públicas que afetam a privacidade dos usuários, defendendo dispositivos que melhoram a proteção desse direito?

Importa muito saber o que as empresas pensam sobre a privacidade de usuários de Internet e seus dados pessoais. Esta categoria pretende avaliar a participação das empresas em debates públicos acerca de leis, projetos de lei e políticas públicas que impactam usuários da rede. Essa participação pode ocorrer tanto perante órgãos governamentais quanto em eventos públicos.

Consideramos apenas as participações feitas em nome da própria empresa e não por associações compostas por várias empresas – como o SindiTeleBrasil – pois acreditamos que o posicionamento público institucional da empresa é essencial para gerar um compromisso com os seus usuários.

Qual foi o parâmetro de avaliação?

(I) A empresa participou de algum debate público em nome próprio que afete o direito à privacidade e proteção de dados no Brasil.

(II) A empresa participou de algum debate público em nome próprio e defendeu a aprovação de legislação específica para a proteção de dados no Brasil, aplicável tanto para o setor público como para o setor privado.

(III) A empresa participou de algum debate público em nome próprio e defendeu a adoção de técnicas de segurança de dados e proteção do sigilo das comunicações (ex. anonimização efetivas de dados coletados, criptografia, soluções de privacidade e segurança “por padrão” e de “privacidade desde a concepção” ).

(IV) A empresa defendeu princípios de proteção de dados pessoais consolidados na prática internacional (ex.: consentimento prévio, finalidade, necessidade etc).

Padrões de desempenho

O provedor de Internet atende a todos os parâmetros.

O provedor de Internet atende a 3 parâmetros.

O provedor de Internet atende a 2 parâmetros.

O provedor de Internet atende a 1 parâmetro.

O provedor de Internet não atende a nenhum dos parâmetros.

CATEGORIA: Relatório de transparência sobre pedidos de dados

O QUE QUEREMOS SABER: A empresa publica relatórios de transparência, informando quantas vezes recebeu pedidos de dados por autoridades estatais e quantas vezes esses pedidos foram atendidos?

Relatórios de transparência são informes emitidos por empresas que podem conter, entre outros conteúdos, diversas estatísticas relacionadas a pedidos de dados. Relatórios com esse tipo de informação são um mecanismo cada vez mais adotado ao redor do mundo para informar como e quanto as empresas cooperam com autoridades do Estado, em geral por força de lei, entregando dados para produção de prova em processos cíveis e penais. No exterior, a publicação desses relatórios por provedores de aplicações como Google, Facebook, Twitter, e Microsoft, e provedores de conexão à Internet como Vodafone e Verizon já é uma prática comum. No Brasil, essa ainda é uma prática pouco comum, o que prejudica o debate público.

É verdade que as empresas brasileiras não são legalmente obrigadas a produzir relatórios de transparência, mas a publicação de estatísticas sobre pedidos e exibições de dados, de forma agregada, também não é proibida. Existe, portanto, a oportunidade de mostrar que as empresas se preocupam em nutrir uma relação de confiança com usuários, baseada na transparência, e contribuir para o debate público a respeito das prerrogativas de acesso a dados de usuários por parte das autoridades públicas.

O art. 12 do Decreto no 8.771/2016 cria a obrigação de divulgar estatísticas similares a essas citadas acima (quantidade de requerimentos, autoridades requerentes, etc.) para órgãos da Administração Pública federal, o que reforça o desenvolvimento de uma cultura de transparência sobre pedidos de dados no país. Acreditamos que o setor privado possa voluntariamente se apropriar dessa pauta. Em manifestações a Comissões Parlamentares, empresas já mencionaram a grandeza do número de pedidos que recebem e a Associação Nacional de Operadoras Celulares (ACEL), em manifestação na ADI 5063, afirmou que há abusos na atuação das autoridades públicas, como pedidos não fundamentados. Dentro desse contexto, torna-se cada vez mais importante a criação de canais de acompanhamento periódicos dessas informações por usuários, como seria o caso com a publicação dessas informações em relatórios de transparência.

Quais foram os parâmetros de avaliação?

(I) Possui relatório de transparência que informe sobre colaboração com autoridades públicas, contendo estatísticas, por exemplo, sobre quantidade de pedidos recebidos e cumpridos por tipo de dado; quantidade de pedidos recebidos e cumpridos por autoridade requerente; quantidade de pedidos recebidos e cumpridos por motivo da autoridade (produção de prova em processo cível, penal ou administrativo, ou investigação criminal e de qual tipo).

Padrões de desempenho

Atende ao parâmetro.

Não atende ao parâmetro.

CATEGORIA: Notificação do usuário

O QUE QUEREMOS SABER: A empresa notifica usuários quando recebe pedidos de dados?

Quando usuários são notificados de que seus dados cadastrais ou registros de conexão à Internet foram requisitados por autoridades administrativas ou judiciais, ampliam-se as suas possibilidades de exercer efetivamente seus direitos de defesa contra abusos e irregularidades.

O impacto de notificações para a garantia da efetiva e ampla defesa em um Estado de Direito não é novidade. À luz do princípio constitucional do devido processo, muitas leis estabelecem o dever de notificar atingidos sobre medidas que afetam seus direitos. Pelo Código de Processo Penal brasileiro, por exemplo, quando o juiz recebe um pedido de imposição de medida cautelar contra alguém, cabe a ele avisar o atingido sobre o pedido, para que possa apresentar seus argumentos (art. 282, §3º).

No contexto de pedidos de dados, provedores de Internet ganham papel fundamental na proteção de garantias processuais de usuários afetados. Isso porque a notificação de empresas ao usuário permite, na primeira oportunidade, que o usuário conteste pedidos ilegais – tanto na forma de ordens judiciais não fundamentadas, quanto de requisições de autoridades administrativas sem competência e embasamento. Sem a notificação, o usuário depende da contestação feita pelas próprias empresas contra pedidos que elas consideram abusivos. Se notificados pelas empresas, usuários ganhariam a possibilidade de se defenderem contra potenciais violações de sua privacidade.

Tendo isso em mente, consideramos importante incentivar a prática de notificação de usuários no QDSD. Em casos de pedidos de dados não acompanhados por obrigação de sigilo, a notificação de empresas ao usuário afetado é, dada a ausência de prescrição legal em sentido contrário, autorizada pela legislação brasileira.

A possibilidade de notificação do usuário pode ser vislumbrada, por exemplo, em casos de pedidos de dados de identificação na justiça cível e no âmbito de pedidos realizados por outros órgãos da Administração, como a Receita Federal ou a ANATEL. Até mesmo no âmbito de processos penais, a notificação prévia à entrega de dados pode ser vista como em regra permitida, quando não haja exigência de sigilo, em respeito aos princípios constitucionais da ampla defesa e ao contraditório, ao reforçar a possibilidade de contestação à produção de provas irrelevantes aos fatos do processo.

A notificação não é uma prática difundida no país, nem é dever legal das empresas. É uma medida vista como inovadora e, por exigir pessoal responsável pelas notificações, custosa para as empresas. A notificação do usuário, no primeiro momento em que for legalmente possível, e preferencialmente prévio à entrega de dados, colabora com o princípio da ampla defesa, além de fomentar uma cultura de proteção à privacidade.

Algumas empresas provedoras de aplicações de Internet, como o Twitter e a Microsoft, já assumem esse tipo de compromisso em sua atuação no Brasil.

Qual foi o parâmetro de avaliação?

(I) Promete notificar usuário previamente à entrega de dados cadastrais e registros de conexão, sempre que o sigilo da entrega não estiver imposto por lei, ou no primeiro momento em que a notificação é permitida.

Padrões de desempenho

Atende ao parâmetro.

Não atende ao parâmetro.

/Resultados

VER POR:

	Informa sobre tratamento de dados	Informa sobre condições de entrega de dados a agentes do Estado	Defende a privacidade de usuários no Judiciário	Adota posicionamento público pró privacidade	Publica relatório de transparência sobre pedidos de dados	Notifica usuários sobre pedidos de dados

	Informa sobre tratamento de dados	Informa sobre condições de entrega de dados a agentes do Estado	Defende a privacidade de usuários no Judiciário	Adota posicionamento público pró privacidade	Publica relatório de transparência sobre pedidos de dados	Notifica usuários sobre pedidos de dados

Ver tabela de resultados da pesquisa anterior

CLARO

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Claro Móvel obteve ½ estrela, pois atendeu completamente aos parâmetros V e VI, e parcialmente aos parâmetros I e IV, o que faz com que tenha atendido ao equivalente a 3 parâmetros.

Quanto ao parâmetro I, é importante ressaltar que as informações fornecidas no contrato são explicitamente apenas sobre dados cadastrais e aparecem no contexto de solicitação de portabilidade. Na Cláusula 14.7 do contrato de serviço na modalidade “pré-paga” (mesmos termos da Cláusula 14.6 no “pós-pago”), a empresa afirma que ao contratar o serviço e receber o código de acesso, o cliente autorizaria o fornecimento de seus dados cadastrais para a entidade administradora, não se fazendo referência a eventual coleta de outros tipos de dados.

Cláusula 14.7 pré-pago e 14.6 pós-pago: “Uma vez solicitada pelo ASSINANTE a Portabilidade do Código de Acesso e atendidos os requisitos e as condições comerciais estabelecidas para tal, o ASSINANTE autoriza, desde já, o fornecimento de seus dados cadastrais para a “Entidade Administradora” e para a “Prestadora Doadora”, assim definidas pela ANATEL, a fim de permitir a conclusão, ou não, de sua solicitação de Portabilidade”.

Quanto ao parâmetro IV, em seu site a Claro informa clientes sobre questões de segurança da informação e prevenção a fraudes. O InternetLab considera essa redação genérica, e por isso considerou que a empresa cumpre apenas parcialmente ao parâmetro, havendo espaço para aperfeiçoamento.

Quanto ao parâmetro V, na Cláusula 17.5 do contrato de serviço na modalidade “pré-paga” (mesmos termos da Cláusula 16.6 no “pós-pago”) afirma-se que todas as informações do cliente são confidenciais e só poderão ser fornecidas (i) ao assinante; (ii) ao representante com procuração específica para ter acesso a tais informações; (iii) a advogado ou agência especializada para os fins exclusivos de cobrança; (iv) em decorrência de determinação de autoridade pública; (v) a outras prestadoras de serviços de telecomunicações para fins específicos da prestação desses serviços.

16.6 pós-pago e 17.5 pré-pago: Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Quanto ao parâmetro VI, há facilidade para achar o contrato no site da empresa, logo ao rodapé da página de abertura de seu website.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Claro obteve ¼ de estrela, pois atendeu apenas ao parâmetro II.

Nos contratos e outros materiais consultados, a Claro não é clara quanto à diferenciação de tratamento entre dados cadastrais e registros de conexão, falando apenas em “informações do cadastro do assinante” que podem ser fornecidas a “autoridades públicas”. Até a edição passada, a empresa fazia referência expressa a “autoridade judicial”, nos contratos de modalidade pré-paga. Este ano, contudo, a expressão foi substituída por “autoridade pública”, a exemplo da redação dos contratos de modalidade pós-paga, tornando a redação ainda mais genérica.

16.6 pós-pago e 17.5 pré-pago: Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Essa redação, apenas, não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicos seus procedimentos e interpretações. Assim, é importante que a Claro informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Claro obteve estrela cheia, pois atendeu a ambos os parâmetros.

Quanto ao parâmetro I, a Claro foi pontuada pois, em 2017, ajuizou junto a outras operadoras via Associação Nacional das Operadoras Celulares (Acel), a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, que confere a delegados de polícia e membros do Ministério Público a prerrogativa de requisitar informações e dados necessários à investigação criminal nos casos de tráfico de pessoas, independentemente de autorização judicial. A ACEL pede a concessão de liminar para que o STF dê à Lei 13.344/2016 interpretação conforme a Constituição Federal de modo a impedir entendimento que leve a medidas como interceptação telemática e de voz, localização de terminal ou IMEI (Identificação Internacional de Equipamento Móvel) de cidadão em tempo real por meio de ERB, extrato de ERB, dados cadastrais de usuários de IP, extratos de chamadas telefônicas e SMS, entre outros dados de caráter sigiloso. No mérito, pede a declaração de inconstitucionalidade parcial do dispositivo questionado.

Também encontramos no banco de dados do site do Tribunal de Justiça de São Paulo um acórdão de caso em que a Claro impetrou Mandado de Segurança contra pedido de autoridade policial solicitando dados cadastrais de usuários cujos chips estariam sendo usados em celulares furtados. Trata-se da Apelação no. 0003082-21.2014.8.26.0205, de relatoria da desembargadora Maria Tereza do Amaral, julgado pela 11ª Câmara de Direito Criminal no dia 15.03.2017. A empresa teria se recusado a fornecê-los sob a argumento de que a divulgação dessas informações violaria direitos e garantias individuais. Com isso, atendeu ao parâmetro II.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Claro não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Ao longo do último ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido da Claro, o que fez com que os parâmetros I e II não fossem atendidos.

A Claro também não nos forneceu materiais nesse sentido na fase de engajamento, pois não colaborou com o projeto.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Claro não obteve estrela, pois não atendeu a nenhum dos parâmetros.

O grupo América Móvil, do qual a Claro faz parte, publica relatório de sustentabilidade sobre suas atividades em diversos países, inclusive no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado:

A Claro não obteve estrela pois, nos materiais analisados, não encontramos menção a mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Ver a tabela

NET

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A NET não obteve estrela, pois atendeu apenas um parâmetro (VI). Ao contrário do que vimos na primeira edição do projeto, o contrato não traz mais nenhuma informação sobre tratamento de dados pessoais de clientes e não foi possível encontrar qualquer outro tipo de informação no site que pudesse substituir àquelas que foram suprimidas dos contratos.

No contrato, agora a empresa faz referência apenas a dispositivos da ANATEL que contêm direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

Muitos desses dispositivos contêm implicações para as políticas de privacidade das empresas. Nesse sentido, o InternetLab entende que a empresa pode preferir não incluir extensos dispositivos legais em contratos. Ao mesmo tempo, entretanto, entendemos que a empresa deve encontrar alguma forma de informar clientes sobre suas políticas referentes à coleta, uso, armazenamento, segurança e compartilhamento de dados pessoais, que podem ser mais detalhadas e mais extensas. A empresa poderia divulgar suas políticas e esforços de proteção à privacidade de clientes em uma seção de seu website, por exemplo.

O único parâmetro que a empresa alcançou foi o de facilidade do acesso ao contrato em seu site (VI), cuja referência se encontra ao rodapé da página inicial da NET, no item sobre contratos e regulamentos. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. O atendimento de um parâmetro é, entretanto, insuficiente para contar alguma premiação.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A NET obteve ¼ de estrela, pois atendeu apenas ao parâmetro I, fazendo referências genéricas a regulamentos e hipóteses de fornecimento de dados a autoridades.

Na cláusula 28.01 do contrato, a NET afirma que, em hipótese de práticas lesivas mencionadas nesse mesmo documento, ela poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o assinante, bem como cancelar sua conta automaticamente, sem aviso prévio.

Cláusula 28.01. Sem prejuízo de outras não elencadas, são consideradas como práticas lesivas ao serviço NET VÍRTUA e/ou aos demais ASSINANTES, sujeitando-se o infrator a todas as cominações legais decorrentes, inclusive a rescisão contratual:

a) O ASSINANTE será responsável por manter as configurações da máquina para acesso aos serviços aqui contratados, sendo proibido alterar estas configurações na tentativa de responsabilizar terceiros ou ocultar a identidade ou autoria. Na hipótese de ocorrência dos casos aqui mencionados, a PRESTADORA poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o ASSINANTE, bem como cancelar a conta automaticamente, sem prévio aviso, respondendo o ASSINANTE civil e penalmente pelos atos praticados;

A redação do dispositivo faz parecer que só há fornecimento de dados a autoridades quando o usuário incorre em atividades nocivas à própria empresa, o que não é o caso na realidade. Portanto, há espaço para melhora.

Ainda neste aspecto, vale destacar que a empresa faz referência a dispositivos da ANATEL que contém direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

Entre os deveres das empresas impostos em resoluções da ANATEL, está o de resguardar o sigilo de informações de clientes e de colaborar com autoridades na forma da lei. No entanto, a NET não informa a clientes de modo claro que tipos de dados entrega e em que circunstâncias.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento.

Ela não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a NET informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A NET não obteve estrela, pois não atendeu a nenhum dos parâmetros.

Não encontramos nenhuma ação em tribunais contestando legislação da qual a NET participasse. Tampouco encontramos ações nas quais defendessem usuários ou contestassem pedidos abusivos.

Vale mencionar que, ao contrário das demais empresas analisadas que receberam crédito pelo parâmetro (I) por ajuizarem, via Associação Nacional das Operadoras Celulares (Acel), a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, a NET é um provedor de Internet banda larga fixa. A ADI em questão é de um coletivo de operadoras de telefonia móvel, as quais são também provedores de Internet móvel. A NET é, contudo, igualmente afetada pelas obrigações dessa lei, o que também poderia ter lhe dado razão para desafiá-la.

Na fase de engajamento com as empresas, pedimos que nos enviassem evidências de casos em que defenderam usuários de pedidos que consideraram abusivos. A NET, entretanto, não colaborou com o projeto.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A NET não obteve estrela, pois não atendeu a nenhum parâmetro.

Em diversas oportunidades ao longo do ano, empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade e a proteção de dados de usuários. Após fazermos buscas na imprensa especializada, mídia tradicional e nas salas de imprensa das empresas, não encontramos nenhum material nesse sentido assinado pela NET.

Na fase de engajamento com as empresas, pedimos que, caso tivessem participado de algum evento ou debate público sobre esses temas e, neles, tivessem se manifestado em favor da privacidade dos usuários, nos informassem com a indicação dos respectivos documentos e/ou registros públicos da referida participação para que pudéssemos considerar esse fato em nossa avaliação. A NET, entretanto, não colaborou com o projeto.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A NET não obteve estrela, pois não atendeu ao parâmetro.

O grupo América Móvil, do qual a NET faz parte, publica Relatório de sustentabilidade sobre suas atividades em diversos países, inclusive no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado:

A NET não obteve estrela pois, nos materiais analisados, não encontramos menção a mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Ver a tabela

OI

CATEGORIA: Informações sobre tratamento de dados

Oi Banda Larga Fixa

Resultado:

A Oi Banda Larga não obteve estrela, pois atendeu parcialmente ao parâmetro IV e completamente ao parâmetro VI, totalizando menos de dois parâmetros, o mínimo para conquistar ¼ de estrela.

O contrato não oferece quase nenhuma informação sobre os dados coletados. Algumas informações gerais puderam ser encontradas no Relatório de Sustentabilidade.

Sobre o parâmetro IV, no Relatório de Sustentabilidade (p. 5 e 26), a empresa afirma que proteção de dados é um de seus eixos de interesse e que toma medidas de segurança. Ainda, na política de segurança interna (documento com diretrizes a serem seguidas por funcionários e estagiários na empresa), fala-se do cuidado que os funcionários devem ter ao utilizar ou acessar dados. No entanto, os termos utilizados são sempre genéricos, o que faz com que cumpra apenas parcialmente o parâmetro. É importante mencionar que, durante a fase de engajamento, a empresa compartilhou informações sobre diretrizes sobre como funcionários e colaboradores da Oi devem lidar com dados pessoais de seus clientes. No entanto, como esse documento não está disponível publicamente, ele não foi considerado na avaliação. O InternetLab recomenda que a empresa passe a publicá-lo de forma acessível a seus clientes e ao público em geral.

Quanto ao parâmetro VI, é possível encontrar os contratos com facilidade, ao final de cada página dos planos, junto ao item “Informações legais”.

É importante ressaltar que a empresa, durante a fase de engajamento, sinalizou que implementaria no final de abril de 2018 mudanças nos contratos que trariam mais informações aos usuários sobre tratamento de dados, o que será levado em conta na avaliação da edição do próximo ano.

Oi Móvel

Resultado:

A Oi Móvel não obteve estrela, pois atendeu parcialmente ao parâmetro IV e completamente ao parâmetro VI, totalizando menos de dois parâmetros, o mínimo para conquistar ¼ de estrela.

As justificativas quanto aos parâmetros IV e VI são as mesmas da Oi Banda Larga.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Oi obteve ¼ de estrela, pois cumpriu o parâmetro I.

Sobre o parâmetro I, o Relatório de Sustentabilidade (p. 29) da Oi afirma que haverá respeito à privacidade e dados salvo nas hipóteses constitucionais e legais de quebra de sigilo.

Os dados cadastrais e demais informações de comunicações telefônicas de clientes apenas são divulgados às autoridades públicas, nas hipóteses constitucionais e legais de quebra de sigilo de telecomunicações.

No contrato da Oi Banda Larga, há redação no mesmo sentido:

8.9. Receber documento de cobrança com discriminação dos valores cobrados pela prestação do SERVIÇO BANDA LARGA DA OI, bem como ao respeito de sua privacidade nesses documentos e na utilização de seus dados pessoais pela Oi, salvas as hipóteses e as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

No entanto, não há, em nenhum dos materiais da empresa consultados, distinção entre hipóteses e tipos de dados que requerem ordem judicial ou requisição de autoridade competente, fazendo com que ela não atenda aos demais parâmetros.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicos seus procedimentos e interpretações. Assim, é importante que a Oi informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

É importante ressaltar que a empresa, durante a fase de engajamento, sinalizou que implementaria no final de abril de 2018 mudanças nos contratos que trariam mais informações aos usuários sobre condições de entrega de dados, o que será levado em conta na avaliação da edição do próximo ano.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Oi obteve estrela cheia, pois atendeu a ambos parâmetros.

A Associação Nacional das Operadoras Celulares (Acel), da qual a Oi e outras operadoras fazem parte, ajuizou em 2017 a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, que confere a delegados de polícia e membros do Ministério Público a prerrogativa de requisitar informações e dados necessários à investigação criminal nos casos de tráfico de pessoas, independentemente de autorização judicial. A ACEL pede a concessão de liminar para que o STF dê à Lei 13.344/2016 interpretação conforme a Constituição Federal de modo a impedir entendimento que leve a medidas como interceptação telemática e de voz, localização de terminal ou IMEI (Identificação Internacional de Equipamento Móvel) de cidadão em tempo real por meio de ERB, extrato de ERB, dados cadastrais de usuários de IP, extratos de chamadas telefônicas e SMS, entre outros dados de caráter sigiloso. No mérito, pede a declaração de inconstitucionalidade parcial do dispositivo questionado.

Quanto ao parâmetro II, o InternetLab realizou buscas exploratórias independentes no site do Tribunal de Justiça de São Paulo com a palavra chave “Oi SA” combinadas com outros termos, como “quebra + sigilo”, “quebra + sigilo + investigação” ou “investigação + Marco Civil da Internet”. Encontramos ações de pessoas físicas que pediam dados de outras. Encontramos também o Habeas Corpus nº 2022284-75.2017.8.26.0000, cujo paciente é o gerente da área de quebra de sigilo da OI S.A. Nele, relata-se uma situação na qual a autoridade policial pediu o acesso a dados cadastrais, históricos de ligação, localização de diversos indivíduos. O pedido da autoridade policial teve respaldo em ordem judicial. No entanto, a OI S.A contestou tal pedido, alegando que ele era genérico e não especificava os indivíduos alvos da medida, fazendo com que, se fosse cumprir tal decisão judicial, a autoridade policial pudesse ter aos dados de todos aqueles que utilizaram a antena da empresa na região. Assim, consideramos que a Oi contestou pedido abusivo, cumprindo esse parâmetro.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Oi obteve ¼ estrela, pois atendeu ao parâmetro I.

Durante a fase de engajamento, a empresa nos enviou alguns itens de sua participação na consulta pública “Estratégia Brasileira para Transformação Digital”, promovida pelo Ministério da Ciência, Tecnologia e Inovações e Comunicações. Apesar de ter defendido outros pontos importantes, como o fortalecimento de mecanismos de cibersegurança e dos direitos do consumidor na internet, a empresa não se posicionou quanto aos pontos avaliados nesta edição do QDSD, o que fez com que não cumprisse os outros parâmetros.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Oi não obteve estrela, pois não atendeu ao parâmetro.

No Relatório de Sustentabilidade, a empresa limita-se a informar que dados cadastrais e demais informações são divulgados a autoridades públicas nas hipóteses autorizadas por lei. No entanto, não há estatísticas ou mesmo quais são as autoridades públicas.

CATEGORIA: Notificação do usuário

Resultado:

A Oi não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais consultados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Ver a tabela

TIM

CATEGORIA: Informações sobre tratamento de dados

Resultado:

TIM Banda Larga

A TIM Banda Larga obteve ½ estrela, pois atendeu completamente aos parâmetros de fornecer informações sobre segurança de dados (IV) e de facilidade de acesso às informações (VI) e parcialmente aos parâmetro sobre uso dos dados pela própria empresa (II) e por terceiros (V), totalizando o cumprimento de três parâmetros.

A empresa não fornece informações ou referências legais completas sobre quais dados são coletados (parâmetro I).

Quanto ao parâmetro II (uso e tratamento de dados), na Cláusula 3.1 (r) afirma que são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologia necessários para assegurar este direito dos usuários. Na cláusula 4.2 (j) faz comprometimento na mesma linha.

Cláusula 3.1 (r): são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologias necessárias para assegurar este direito dos usuários.

Cláusula 4.2 (j) o respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora;

Além disso, no Relatório de Sustentabilidade, afirma-se que o acesso aos cadastros e dados de comunicação dos usuários será permitido apenas aos colaboradores que precisem acessar tais informações para atividades profissionais.

Apesar disso, como não há informações completas sobre como a empresa utiliza e trata os dados coletados, o cumprimento do parâmetro II é apenas parcial.

Não encontramos informações sobre armazenamento de dados (parâmetro III).

Quanto ao parâmetro IV, a empresa divulga no Relatório de Sustentabilidade que, no âmbito da segurança, segue as melhores práticas do mercado, de acordo com o ISO 27001 (apesar de não possuírem certificação). O InternetLab recomenda que tais informações sejam tornadas mais visíveis e acessíveis ao cliente, já que o art. 16 do Decreto 8.771/2016 fala em “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

Quanto ao parâmetro V (utilização de dados por terceiros), na cláusula 4.2 (e) do contrato, a TIM afirma que são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação.

Cláusula 4.2 (e) são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação;

A empresa não informa, entretanto, se essas são as únicas situações em que terceiros ganham acesso e/ou usam dados de cliente.

Por fim, quanto ao VI, há facilidade para ter acesso às informações, pois o site está bem mais enxuto e é possível acessar os contratos e termos de serviço no fim da página de cada opção de serviço.

Na fase de engajamento com as empresas, a TIM defendeu que deveria receber estrela cheia nesta categoria. Isto porque a ausência de procedimentos administrativos da autoridade reguladora contra a empresa atestaria sua situação de compliance legal. Nesse sentido, atestou que à utilização dos dados dos clientes aplica-se o art. 72 da Lei Geral das Telecomunicações (no. 9.472/1997), ao qual a TIM está submetida enquanto prestadora de serviços de telecomunicações – ainda que essa informação não conste nos contratos analisados, afirma fornecer, em seu site, o link para o site e telefone de contato da ANATEL. Forneceu ainda acesso ao link da Política de Privacidade da empresa, à qual o InternetLab havia solicitado.

Apesar de enaltecer o engajamento da empresa com o projeto, o InternetLab entende que a empresa não apresentou fundamentação suficiente para gerar alteração de sua avaliação nesta categoria. Isto porque entendemos que o QDSD é um projeto que prestigia empresas que adotam boas práticas de proteção de dados de seus clientes no atendimento a obrigações legais, como é o caso quando informam de maneira completa, acessível e didática sobre como tratam dados pessoais de clientes. Além disso, o InternetLab destaca que a Política de Privacidade indicada pela empresa diz respeito a dados gerados na navegação do site da TIM, e não à política adotada por dados tratados na prestação do serviço de acesso à internet oferecido aos seus clientes.

TIM Móvel

Resultado:

A TIM Móvel também obteve ½ estrela, pois atendeu completamente aos parâmetros de fornecer informações sobre segurança de dados (IV) e de facilidade de acesso às informações (VI) e parcialmente aos parâmetro sobre uso dos dados pela própria empresa (II) e por terceiros (V), totalizando o cumprimento de três parâmetros.

Quanto aos parâmetros II e V no caso da TIM Móvel, cabe citar a Cláusula 3.3.G do plano pré-pago (mesmos termos na Cláusula 3.5.F do pós-pago), em que se afirma que é assegurado ao cliente direitos como inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses legais de quebra de sigilo e ressalvada a hipótese de disponibilização de informações, exclusivamente para fins estatísticos.

Cláusulas 3.3.g pré-pago e 3.5.f pós-pago: São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

Ao mesmo tempo em que a empresa afirma tratar ‘comunicações’ de clientes respeitando o sigilo, deixa de informar de forma completa e clara como dados do cliente são usados apenas pela empresa e para que fins. Também não é clara se a disponibilização de informações para fins estatísticos e em razão de quebras de sigilo são as únicas hipóteses em que há fornecimento de dados a terceiros. Por essa razão, consideramos como apenas parcial o cumprimento destes parâmetros.

As demais observações feitas para a TIM Banda Larga também valem aqui.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

TIM Banda Larga

Resultado:

A TIM Banda Larga obteve ¼ de estrela, pois atendeu apenas ao parâmetro I.

Na cláusula 4.2 (e) do contrato, a TIM afirma que são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

Cláusula 4.2 (e) são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação;

Na cláusula 14.01 (g) do contrato, a TIM Banda Larga também afirma que poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o assinante que se engaje em atividades ilícitas:

Cláusula 14.1 (g) o contrato pode ser extinto unilateralmente pela TIM caso seja constatada a utilização do serviço para prática de atos criminosos, notadamente crimes contra crianças e adolescentes previstos no ECA e demais legislações aplicável a espécie, resguardando o direito de a TIM buscar eventual reparação por perdas e danos em face do cliente caso tenha sido acionada por terceiros prejudicado, no âmbito de demandas cíveis ou criminais que suscitem a responsabilidade pela prática de tais atos ofensivos, através do LIVE TIM, sendo inclusive facultado a TIM fornecer todos os dados cadastrais do cliente as autoridades judiciais na forma da lei 12.965/2014 para apuração do ilícito e devida responsabilização do autor das ofensas. (grifo nosso)

No relatório de sustentabilidade, a empresa afirma ainda que as informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica (p. 40).

O InternetLab considera a redação desses materiais genérica, cabendo espaço para aperfeiçoamento.

Os trechos citados não esclarecem ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

Na fase de engajamento com as empresas, a TIM contestou a avaliação, solicitando a revisão da pontuação, porque não haveria na legislação setorial um tratamento distinto a ser conferido a “registros de conexão”. O InternetLab, entretanto, entendeu que não haveria espaço para revisão da avaliação, porque a empresa está, sim, submetida ao Marco Civil da Internet e demais leis citadas no enunciado da categoria.

A empresa também fez questão de destacar que a redação genérica do contrato e do relatório de sustentabilidade não implica que esteja desrespeitando os parâmetros legais no momento de responder a pedidos de quebra de sigilo. O InternetLab concorda que tal insinuação não pode ser feita, mas esclarece que o objetivo desta categoria é avaliar se as empresas oferecem informações claras e completas sobre como lidam com tais pedidos, razão pela qual não pode ser premiada nesta categoria.

TIM Móvel

Resultado:

A TIM Móvel obteve ¼ de estrela, pois atendeu apenas ao parâmetro I.

Na cláusula 3.3.G do plano pré-pago (mesmos termos na Cláusula 3.5.F do pós-pago), em que se afirma que é assegurado ao cliente direitos como inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses legais de quebra de sigilo.

Cláusulas 3.3.g pré-pago e 3.5.f pós-pago: São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

A empresa também afirma, na cláusula 8.4 do plano pré-pago (mesmos termos na cláusula 10.12 do plano pós-pago), dispensar tratamento sigiloso e confidencial aos dados e comunicações dos usuários em caso de determinação de autoridade competente.

Cláusulas 8.4 pré-pago e 10.12 pós-pago: A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica (p. 40).

O InternetLab considera a redação desses materiais genérica, cabendo espaço para aperfeiçoamento. Sobre isso, cabem as mesmas considerações feitas para a TIM Banda Larga.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A TIM obteve ½ estrela, pois atendeu apenas ao parâmetro I.

Quanto ao parâmetro I, a TIM foi pontuada pois ajuizou junto a outras operadoras via Associação Nacional das Operadoras Celulares (Acel), a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, que confere a delegados de polícia e membros do Ministério Público a prerrogativa de requisitar informações e dados necessários à investigação criminal nos casos de tráfico de pessoas, independentemente de autorização judicial. A ACEL pede a concessão de liminar para que o STF dê à Lei 13.344/2016 interpretação conforme a Constituição Federal de modo a impedir entendimento que leve a medidas como interceptação telemática e de voz, localização de terminal ou IMEI (Identificação Internacional de Equipamento Móvel) de cidadão em tempo real por meio de ERB, extrato de ERB, dados cadastrais de usuários de IP, extratos de chamadas telefônicas e SMS, entre outros dados de caráter sigiloso. No mérito, pede a declaração de inconstitucionalidade parcial do dispositivo questionado.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça de São Paulo com a palavra chave “TIM” combinada com outros termos, como “quebra E sigilo” ou “quebra E sigilo E internet”. Encontramos dois resultados relevantes, mas de caráter cível, que está fora do escopo do parâmetro II. Em Embargos de Declaração de nº 0054386-98.2012.8.26.0053/50000, a TIM embargou decisão que autorizou a quebra de sigilo, alegando que não poderia obedecer, pois as autorizações dos consumidores para o fornecimento dos dados não constavam nos autos do processo. Na Apelação nº 1013983-74.2016.8.26.0071, por sua vez, a TIM havia negado, em sede administrativa, o pedido de uma usuária que recebera ligações ‘anônimas’ e buscava saber o número que as originou e o CPF do titular, sob o argumento de que essas informações seriam sigilosas. Na decisão, contudo, determinou-se o fornecimento desses dados pela empresa. Por ter desafiado tais pedidos da seara cível que entendia extrapolar os limites legais de proteção de privacidade, o InternetLab enaltece a empresa; por eles, no entanto, não pode ser pontuada, já que a categoria contempla apenas casos em que os pedidos provém de autoridades estatais perante o judiciário (não por pessoas físicas nem em sede meramente administrativa).

Na fase de engajamento, para que pudéssemos premiar a empresa, solicitamos peças em que a empresa contestasse por via judicial pedidos abusivos de autoridades estatais, conforme exigido pela redação do parâmetro II. Apesar do engajamento, a empresa não compartilhou informações nesse sentido e, por isso, não foi pontuada.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A TIM obteve ¾ de estrela , pois cumpriu apenas aos parâmetros I, III e IV.

Na fase de engajamento, a TIM informou ao InternetLab que participou da Consulta Pública ‘Estratégia Brasileira para a Transformação Digital’ do Ministério da Ciência, Tecnologia, Inovações e Comunicações. Nela, a empresa levantou questões acerca da privacidade e proteção de dados dos consumidores. Nesse ponto, consideramos cumprido o parâmetro I.

Na contribuição submetida à Consulta, a empresa indicou como ação prioritária a definição de marco regulatório que garanta autonomia informacional de consumidores. Contudo, não fez menção à necessidade de uma legislação específica de proteção de dados – tendo inclusive negado sua priorização na seção de “Confiança no ambiente digital” da Estratégia Digital. Diante disso, consideramos que o parâmetro II não foi atendido.

Sobre o parâmetro III, a TIM defendeu o uso de soluções de privacidade e segurança “por padrão” e de “privacidade desde a concepção” como técnicas de segurança. Também afirmou que elas devem ser bem caracterizadas.

Criar padrões e certificação de privacy by design and default e security by design and default para a produção nacional e aquisições no setor de TICs.

Requisitos de segurança de acesso a dispositivos públicos e de transmissão e armazenamento de dados também precisam ser bem caracterizados pela empresa responsável para resguardar a rede contra ataques e acessos indevidos.

Finalmente, a TIM também atendeu ao parâmetro IV, pois defendeu a adoção de práticas internacionalmente consolidadas na matéria:

É necessário uma abordagem regulatória flexível o suficiente para que o mercado gere modelos de negócio atrativos para seu público alvo, sem que isso comprometa os direitos e garantias dos usuários e criar diferentes níveis de segurança e defesa cibernética que garantam a proteção adequada à privacidade de todos os dados que serão gerados pelos novos dispositivos. Vale notar, isso deverá significar também a geração de modelos de negócio simplificados para os casos em que os dados trafegados não contenham informações críticas à segurança, à privacidade do usuário ou ao segredo industrial. A TIM acredita que as regras de proteção de dados devem estar em conformidade com o padrão internacional sobre a matéria.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A TIM não obteve estrela, pois não atendeu ao parâmetro I.

A TIM publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos. Mesmo na seção “transparência”, a empresa não informa nada neste sentido.

Durante a fase de engajamento com as empresas, a TIM reiterou ao InternetLab que não está obrigada a divulgar estatísticas, que o decreto regulamentador do Marco Civil da Internet impõe essa obrigação a autoridades, e que, por motivos de segurança, entende não ser recomendável a disponibilização pela própria empresa. Ressaltou, entretanto, que, quando solicitado de modo motivado, informa dados agregados sobre pedidos a autoridades do Poder Judiciário ou de Segurança Pública.

A empresa pediu que essa categoria fosse revista, à luz de suas considerações. Por mais que o InternetLab entenda as preocupações da empresa, destacamos a importância da transparência para o refinamento de mecanismos de responsabilização do Estado e o fato de que esta prática é cada vez mais difundida em diversos países do mundo, inclusive entre diversas empresas de telecomunicações.

CATEGORIA: Notificação do usuário

Resultado:

A TIM não obteve estrela, pois não atendeu ao parâmetro.

A TIM não obteve estrela pois não emprega mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Ver a tabela

VIVO

CATEGORIA: Informações sobre tratamento de dados

Vivo Banda Larga Fixa

Resultado:

A Vivo obteve estrela cheia, pois atendeu a todos os parâmetros.

Quanto ao parâmetro I, em seu contrato na modalidade Banda Larga, a empresa traz uma nova cláusula: “13. Dos Usos dos Dados Pessoais do Cliente”. Nela, como o próprio nome sugere, oferece várias informações sobre tratamento de dados. Além disso, no recém inaugurado Centro de Privacidade, no website da Vivo, os usuários contam com vídeo informativo sobre os pontos principais da proteção de dados pela empresa e depois com um FAQ no qual podem encontrar outras informações de forma mais minuciosa. Na descrição dos resultados da Vivo Banda Larga, nos focaremos no texto dos contratos, mas as informações do Centro de Privacidade – incluídas na seção da Vivo Móvel – também valem aqui.

Quanto aos parâmetros I e II, a cláusula 13.1 informa quais dados são coletados na prestação do serviço e como e para que fins são usados.

13. Dos Usos dos Dados Pessoais do Cliente

13.1. Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão tratados na forma da legislação vigente e regulamentação aplicável, exclusivamente com o objetivo de prestação do(s) serviço(s) de telecomunicação(ões) objeto deste Contrato, bem como para análise de perfil do CLIENTE, ou para finalidades de marketing, por forma a (i) garantir a adequação das melhores ofertas de acordo com as necessidades do CLIENTE; e (ii) melhorar a performance dos serviços prestados, podendo ainda os mesmos ser tratados pela VIVO, seus parceiros ou por terceiros por contratados pela VIVO, de forma anonimizada de modo a permitir análise e construção de padrões, comportamentos, escolhas, e consumos para as finalidades aqui previstas.

No que se refere ao parâmetro III, nas cláusulas 13.2 e 13.3 do contrato a empresa descreve por quanto tempo e por quem serão armazenados os dados pessoais e registros de conexão do cliente.

13.2 Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão armazenados pela VIVO ou por um terceiro subcontratado pela VIVO pelo prazo de 5 (cinco) anos, sendo os Contratos armazenados pelo prazo de 10 (dez) anos, por forma a garantir o cumprimento das correspondentes obrigações legais aplicáveis, sendo garantido aos CLIENTES que o armazenamento dos seus dados pessoais pela VIVO ou por terceiros subcontratados será efetuada mediante a adoção de medidas de segurança e proteção física e lógica das informações.

13.3. Por estipulação legal, a VIVO irá armazenar os registros da sua conexão à Internet pelo prazo de 1 (um) ano, garantindo para este efeito a adoção de medidas de segurança física e lógica e que permitem salvaguardar a proteção e segurança, sigilo e confidencialidade dos registros de conexão, pelo que após o decurso do prazo de 1 (um) ano, a VIVO eliminará todos os registros de conexão dos seus registros. A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente o armazenamento dos registros de conexão por um prazo adicional, em relação ao prazo previsto. e proteção física e lógica das informações.

Sobre o parâmetro IV, no Relatório de Sustentabilidade (p. 47), a empresa informa alguns dos standards de segurança que utiliza para garantir a proteção dos usuários, como o fato de haver datacenters certificados conforme as normas ISO 27000 e 27001. Além disso, na cláusula 13.1 afirma que os dados pessoais são tratados de forma anonimizada.

No Brasil, para reforçar nosso compromisso com a confiança digital, possuímos datacenters certificados conforme as normas ISO 27000 e 27001, referência internacional para a gestão da segurança da informação. Também contamos com normativas, procedimentos internos e ações de conscientização que asseguram a privacidade das informações e o acesso restrito a esses dados, conforme estipulado pela Política Global de Privacidade.

Quanto ao parâmetro V, na cláusula 13.1 a empresa exemplifica em quais circunstâncias compartilhará dados com terceiros contratados pela Vivo ou parceiros. Além disso, na Cláusula 13.6 afirma-se que ao assinar o contrato, o cliente autoriza a Vivo a divulgar seu nome como parte da relação de Clientes no Brasil, podendo o cliente cancelar essa autorização assim que enviar um aviso por escrito à empresa. Na cláusula 13.7, há a informação de que, fora o disposto nos itens anteriores, não haverá fornecimento de terceiros de demais dados pessoais e registros de conexão salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.

13.6 O CLIENTE desde já autoriza a VIVO a divulgar o seu nome como parte da relação de Clientes no Brasil. O CLIENTE poderá cancelar a autorização prevista neste item, a qualquer tempo, sem justificativa, mediante prévio aviso por escrito à VIVO.

13.7 Salvo o disposto nos itens anteriores, não haverá o fornecimento a terceiros de demais dados pessoais, inclusive registros de conexão, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei identificadas na cláusula 13.4 e 13.5 deste Contrato.

Sobre o parâmetro VI, no site da empresa, todos os contratos estão disponíveis ao se buscar mais informações sobre os planos, cumprindo-o. Sobre as informações disponíveis no Centro de Privacidade, ver os comentários na avaliação da Vivo Móvel.

Vivo Móvel

Resultado:

A Vivo obteve estrela cheia, pois atendeu a todos os parâmetros.

É importante colocar que os contratos de telefonia móvel nas modalidades pós e pré-pago não oferecem quase nenhuma informação sobre os dados coletados. Algumas informações gerais puderam ser encontradas no Relatório de Sustentabilidade e as demais no recém inaugurado Centro de Privacidade, no website da Vivo. Nessa seção, os usuários contam um com breve vídeo informativo sobre os pontos principais da proteção de dados pela empresa e depois, através do menu, podem encontrar outras informações de forma mais minuciosa.

Sobre o parâmetro I, a Vivo discrimina tanto no vídeo quanto em texto quais dados são coletados e quais não são coletados (por exemplo, o que o usuário faz em redes sociais, que tipo de conteúdo prefere):

A Vivo coleta as suas informações de acordo com o serviço que você utiliza. Saiba quais são essas informações:

– Dados Cadastrais: O que você disponibilizou quando contratou os nossos serviços.

– Volumes de dados trafegados na internet via rede 2F, 3G e/ou 4G.

– Histórico de usos dos produtos e serviços contratos: Exatamente o que o nome diz, mas é importante saber que esse histórico não envolve registro de acesso a apps utilizados no seu celular nem o que você fez nas redes sociais ou sites. Isso vale apenas para os apps da Vivo! Aí sim é feita a coleta de dados para deixar o app cada vez melhor.

– Eventos de SMS que estão dentro e fora da rede Vivo nacional: Essa coleta inclui eventos Vivos internacionais e de operadoras internacionais em roaming.

– Registros de telefona PJ e PF.

– Informações de sistemas de tarifação, emissão de contas telefônicas, geração de livro fiscal e arquivo contábil.

– Transações de recargas e concessão de cotas de planos de navegação dos clientes pré-pagos.

– Dados de atendimento ao cliente em lojas e no call center.

Quanto ao parâmetro II, na subseção “Para que e como coletamos informações?” a empresa descreve algumas das finalidades da coleta de dados, como melhora do serviço da rede, personalizar o atendimento etc:

(…) Por isso, vamos explicar aqui os motivos para coletarmos todas essas informações:

– Transações de recarga e concessão de cotas de planos de navegação dos clientes pré-pagos.

– Melhorar o desempenho da rede e aumentar a qualidade dos nossos serviços.

– Corrigir as falhas nos serviços de rede móvel, fixa e TV ainda mais rápido.

– Deixar os processos para a elaboração de planos, serviços e ofertas personalizadas ainda mais próximos do seu perfil.

– Avaliar a demanda por região geográfica.

– Ajudar nas decisões estratégicas da VIVO, como redistribuir o sinal ou remanejar a carteira de serviços e ofertas personalizadas ainda mais próximas do seu perfil.

– Melhorar a experiência de relacionamento entre você e a Vivo.

Em outra subseção do “Centro de Privacidade”, “Por quanto tempo armazenamos?”, a empresa informa o tempo mínimo de armazenamento de dados.

De acordo com o Marco Civil da Internet, a Vivo armazena por no mínimo 1 ano os seus registros de conexão, que são as informações sobre o tempo das suas conexões à internet e o IP para envio e recebimento de dados.

Os seus dados cadastrais (como nome completo, endereço e CPF) e os dados de faturamento (documentos de natureza fiscal) são armazenados por no mínimo 5 anos, para processos judiciais e administrativos.

Não registramos conteúdo de provedores de apps, a não ser aqueles que criamos. Então, neste caso, de acordo com o Marco Civil da Internet, mantemos o registro por até 6 meses, sob sigilo, em ambiente controlado e de segurança.

Apesar de satisfazer o parâmetro III, neste ponto, há espaço para aperfeiçoamento do texto, que pode indicar quando a empresa excluirá os dados.

Sobre o parâmetro IV, no Relatório de Sustentabilidade (p. 47), a empresa informa alguns dos standards de segurança que utiliza para garantir a proteção dos usuários.

No Brasil, para reforçar nosso compromisso com a confiança digital, possuímos datacenters certificados conforme as normas ISO 27000 e 27001, referência internacional para a gestão da segurança da informação. Também contamos com normativas, procedimentos internos e ações de conscientização que asseguram a privacidade das informações e o acesso restrito a esses dados, conforme estipulado pela Política Global de Privacidade.

Além disso, no “Centro de Privacidade”, a empresa também informa os standards de segurança que utiliza, informa que fazem parceiros assinarem termo de segurança e que possuem uma Política Corporativa de Segurança da Informação, que estabelece diretrizes obrigatórias para todos os colaboradores. Sobre anonimização, na subseção “Onde compartilhamos esses dados?”, a empresa afirma que quando a Vivo realiza estudos de comportamento em eventos que provavam deslocamento de público, não é possível a individualização dessas informações – afirmam que informações individualizadas somente são compartilhadas com parceiros perante autorização do cliente.

Para garantir que todos os seus dados estejam protegidos, tanto em ambiente interno quanto de parceiros, todos os nossos colaboradores assinam um termo renovado todos os anos, se comprometendo a manter a privacidade dos dados e das informações.

Também temos a Política Corporativa de Segurança da Informação, que estabelece as diretrizes de segurança obrigatórias para todos os colaboradores. Essa política tem como objetivo implementar ações destinadas ao cumprimento dos controles básicos da segurança da informação.

Confidencialidade: Permitimos o acesso dos dados e aos nossos sistemas somente a pessoas autorizadas, conforme o “princípio do privilégio mínimo”.

Integridade: Preservamos a confiabilidade dos dados e das informações contra qualquer tipo de alteração, seja de forma acidental ou fraudulenta.

Disponibilidade: Estabelecemos os controles necessários para que as informações estejam disponíveis para serem acessadas quando necessário.

Auditabilidade: Propiciamos que qualquer ação ou transação possa ser relacionada univocamente, garantindo o cumprimento dos controles fundamentais estabelecidos nas respectivas normas.

Se acontecer algum incidente de segurança, nos comprometemos a agir com rapidez e responsabilidade para minimizar os impactos e possíveis danos. Também mantemos um plano de continuidade de negócios para diminuir possíveis impactos a você que possam afetar a prestação dos serviços.

A Vivo utiliza recursos para investigar vulnerabilidades de segurança que coloquem em risco a sua privacidade, garantindo que sejam implantadas as medidas de correção certas.

Você será informado apenas dos casos relevantes em que a perda, o uso indevido ou a revelação das informações tenham acontecido por uma violação da segurança dos sistemas e das redes da companhia ou que estejam relacionados a uma decisão ou ação técnica interna. Nesses casos, você vai saber quais ações corretivas vão ser realizadas e as recomendações para proteger os seus interesses. No nosso relacionamento com as autoridades legais, respeitamos a legislação local e a regulamentação.

Quanto ao parâmetro V, no vídeo informativo, afirmam que os dados são vistos apenas por pessoas autorizadas e que colaboradores precisam assinar termos de confidencialidade. Na subseção “Onde compartilhamos esses dados?” informam que dados individualizados só são divulgados aos parceiros se autorizado pelo cliente.

A Vivo pode, eventualmente, apoiar um estudo de comportamento em eventos que promovam deslocamento de um público em determinada localização. Mas é importante ressaltar que, nesse caso, não é possível qualquer forma de individualização dessas informações. As informações individualizadas só vão ser compartilhadas com parceiros se você autorizar.

Sobre o parâmetro VI, no site da empresa, todos os contratos estão disponíveis ao se buscar mais informações sobre os planos, cumprindo-o. No entanto, visto que a maioria das informações relevantes para o cumprimento dos parâmetros não estão no contrato, mas sim no “Centro de Privacidade” e Relatório de Sustentabilidade, dessa forma, a acessibilidade deles é tão importante quanto a dos contratos. Quando se acessa a página inicial da Vivo, somos levados à aba “Para Você”, que trata dos diversos planos e serviços que podem ser contratados pela operadora. Para encontrar o “Centro de Privacidade”, é necessário mudar de aba dentro do site, como pode ser demonstrado pelas imagens abaixo:

Captura de Tela 2018-04-03 às 20.01.48

Fig.1 À esquerda da tela, a página inicial da Vivo e, à direita, a aba “A Vivo”, na qual podemos encontrar, dentro do submenu “A Marca”, o “Centro de Privacidade”.

É verdade que o “Centro de Privacidade” é mais acessível e facilmente encontrado no site do que o Relatório de Sustentabilidade e que a iniciativa é muito inovadora dentro do panorama brasileiro e mostra o compromisso da Vivo com a defesa da privacidade e acesso a informações, algo que o InternetLab enaltece. No entanto, recomendamos que esse tipo de informação se torne mais facilmente acessível para os clientes e que a empresa se esforce em divulgá-lo. Por exemplo, o vídeo que explica e apresenta o “Centro de Privacidade” foi publicado em 8 de janeiro e até o fim de fevereiro possuía apenas pouco mais de 3500 acessos, número baixo perante a cifra que representa a clientela da empresa.

Além disso, apesar de todas as informações estarem publicamente disponíveis, há uma grande diferença nas informações disponíveis nos contratos móveis e de banda larga, o que recomendamos que seja ajustado. No mais, sugerimos que contratos passem a fazer referência ao “Centro de Privacidade”.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Vivo obteve estrela cheia, pois atendeu aos parâmetros I, III e IV.

Quanto ao parâmetro I, no Relatório de Sustentabilidade (p. 13) a empresa afirma que busca cumprir a legislação e marcos regulatórios em âmbito nacional.

Buscamos garantir o compliance com a legislação e os marcos regulatórios em âmbito internacional, nacional e regional para antecipar tendências e mudanças na regulação que influenciam nossos negócios.

Também no “Centro de Privacidade”, na subseção “Quebra de Sigilo”, a empresa afirma que existem algumas situações em que podem compartilhar as informações, de acordo com legislação vigente no Brasil:

Pode existir alguma situação na qual tenhamos que compartilhar as suas informações, como em caso de ordens judiciais e solicitações de autoridades competentes, de acordo com a legislação vigente no Brasil. Assim, registros de conexão, voz e dados poderão ser disponibilizados sem o seu conhecimento.

Sobre os parâmetros II, III e IV, no Informe de Transparencia en las Comunicaciones de 2017 há a definição de quais seriam as autoridades competentes para interceptações e requisição de metadados de acordo com a legislação brasileira, ou seja, em quais condições a empresa fornece dados cadastrais e registros de conexão.

[Interceptações] Autoridades competentes

– De acuerdo con el artículo 3º de la Ley Federal brasileña n. 9.296/1996 (ley de las interceptaciones), solamente el Juez (de la esfera criminal) puede determinar las interceptaciones (telefónicas y telemáticas), a petición de la Fiscalía (Ministerio Público) o Comisario de Policía ( “Autoridade Policial”).

[Metadados] Autoridades competentes

– Fiscalía, Comisarios de Policía y Jueces de cualquier esfera: el nombre y dirección del usuario registrado (datos de abonado), así como la identidad de los equipos de comunicación (incluyendo IMSI o IMEI).

– Jueces de cualquier esfera: los datos para identificar el origen y el destino de una comunicación (por ejemplo, números de teléfono, nombres de usuario para los servicios de Internet), la fecha, hora y duración de una comunicación y la localización del dispositivo.

Isso significa que a Vivo entrega dados cadastrais mediante requisição de representantes Ministério Público (“Fiscalía”), autoridades policiais (“comisarios de policía”) e juízes. Registros de conexão, como também indicado no contrato, são disponibilizados apenas mediante ordem de um juiz.

O InternetLab enaltece a conduta da Telefónica Global de tornar públicas as suas interpretações sobre quais as autoridades competentes para solicitar dados de usuários e em que circunstâncias. No entanto, reforçamos que há necessidade de apresentar tais informações em português para que a empresa continue a ser completamente pontuada nas próximas edições, seja em contratos, em Relatório de Sustentabilidade, ou outros materiais.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Vivo obteve ½ estrela, pois atendeu ao parâmetro I.

A Associação Nacional das Operadoras Celulares (Acel), da qual a Vivo e outras operadoras fazem parte, ajuizou em 2017 a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, que confere a delegados de polícia e membros do Ministério Público a prerrogativa de requisitar informações e dados necessários à investigação criminal nos casos de tráfico de pessoas, independentemente de autorização judicial. A ACEL pede a concessão de liminar para que o STF dê à Lei 13.344/2016 interpretação conforme a Constituição Federal de modo a impedir entendimento que leve a medidas como interceptação telemática e de voz, localização de terminal ou IMEI (Identificação Internacional de Equipamento Móvel) de cidadão em tempo real por meio de ERB, extrato de ERB, dados cadastrais de usuários de IP, extratos de chamadas telefônicas e SMS, entre outros dados de caráter sigiloso. No mérito, pede a declaração de inconstitucionalidade parcial do dispositivo questionado.

Quanto ao parâmetro II, o InternetLab realizou buscas independentes e exploratórias no site do Tribunal de Justiça de São Paulo com as palavras chave “telefônica brasil” ou “Vivo” combinadas com outros termos, como “quebra + sigilo”, “quebra + sigilo + investigação” ou “investigação + Marco Civil da Internet”. No entanto, não conseguimos achar resultados nos quais a empresa contestava pedidos abusivos de autoridades estatais perante o judiciário. O que foi possível encontrar foram ações de caráter civil envolvendo pessoas físicas, que está fora do parâmetro II. Por exemplo, encontramos a Apelação nº 1009410-37.2015.8.26.0100, no qual uma pessoa pede a quebra de sigilo de dados para que se revelasse o nome de titulares de linhas telefônicas utilizadas para lhe passar trote para suas linhas fixa e móvel. A empresa recusou o pedido sem autorização judicial específica, pois estaria fora do escopo constitucional de quebra de sigilo.

Apesar de enaltecermos o engajamento da Vivo no projeto e de terem afirmado que contestam pedidos abusivos, a empresa não nos forneceu informações sobre contestações judiciais de pedidos de autoridades estatais que não tem respaldo em lei. A empresa apenas forneceu informações ao InternetLab sobre pedido de órgão regulador e contestação em sede administrativa. Apesar de enaltecermos a conduta, ela está fora do escopo desta categoria.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Vivo obteve ½ estrela, pois atendeu completamente ao parâmetro I e parcialmente aos II e III, totalizando 2.

Durante a fase de engajamento, a empresa nos enviou sua participação na consulta pública “Estratégia Brasileira para Transformação Digital”, promovida pelo Ministério da Ciência, Tecnologia e Inovações e Comunicações, o que fez com que cumprisse o parâmetro I.

Quanto ao parâmetro II, a empresa não defende explicitamente a criação de uma lei específica para proteção de dados, mas que deve ser feita uma regulamentação para o uso de dados pela administração pública. Assim, cumpre apenas parcialmente esse parâmetro.

Você considera que o conjunto de ações estratégicas acima é suficiente para atingir os objetivos da Estratégia Brasileira para a Transformação Digital?

Não, consideramos que seria importante incluir ações estratégicas no sentido de criar uma estrutura e procedimentos que envolvam uma definição de procedimentos e limites ao uso de dados pessoais pelos entes estatais, de maneira a se evitar a circulação de informações sem um controle específico. Atualmente, apesar de ser discutido a nível de projeto de lei questões envolvendo o uso de dados pessoais, esta discussão exclui o tratamento de dados pelo ente estatal, conforme se observa no PL nº 5.276/2016. Compreendemos que seria de extrema importância a existência de uma norma que regule o uso dos dados pessoais pela Administração Pública, uma vez que atualmente seu uso é descentralizado e descontrolado, o que gera grande insegurança e risco de vazamento de informações.

Sobre o parâmetro III, a empresa colocou que precisam ser empregados recursos tecnológicos que efetivamente protejam os dados dos usuários, especialmente quanto a serviços de Big Data, mas não mencionou medidas em específico.

Segurança e Proteção aos dados: à medida que serviços e processos sejam digitalizados, haverá mais informações pessoais armazenadas e manipuladas, nas mais diversas instâncias dos serviços Big Data. É preciso que a guarda e o acesso a este ativo sejam disciplinados por recursos tecnológicos e condições que efetivamente assegurem sua proteção;

Também afirmou que os princípios do privacy by design e privacy by default teriam respaldo na legislação brasileira, mas não defendeu que a adoção dessas técnicas seja reforçada.

A Telefônica entende que, ainda que não previstos na legislação brasileira, o privacy by design e privacy by default envolvem princípios e conceitos estabelecidos no Marco Civil da Internet, razão pela qual estão de acordo com o ordenamento jurídico pátrio.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Vivo obteve estrela cheia, pois atendeu ao parâmetro.

Apesar do Relatório de Sustentabilidade produzido pela Telefônica Brasil (em português) não conter quase nenhuma informação sobre proteção de dados se comparado aos anos anteriores, pelo segundo ano seguido, encontramos a publicação do Informe de Transparencia en las Comunicaciones de 2017, do Grupo Telefônica (documento em espanhol), em que há certo detalhamento sobre o conjunto regulatório ao qual estão sujeitos cada país no qual o grupo está presente, o número de requerimentos de dados que receberam em cada país entre 2013 e 2016 e, especialmente no caso do Brasil, quais são as autoridades que consideram competentes.

No Brasil em 2016, foram mais de 398 mil pedidos de interceptações e mais de 1,5 milhão de pedidos por metadados. Assim, por incluir estatística e esclarecer quais são as autoridades que considera competente de acordo com a lei, a empresa cumpriu o parâmetro.

O InternetLab reforça a importância de publicar tal documento em português, como já fizemos no ano passado. Para que a empresa continue a ser completamente pontuada em edições futuras do projeto, deverá produzir material em português e disponibilizá-lo no site brasileiro.

CATEGORIA: Notificação do usuário

Resultado:

A Vivo não obteve estrela, pois não atendeu ao parâmetro.

No “Centro de Privacidade”, no site da Vivo, há a subseção “Quebra de Sigilo”, que contém a seguinte pergunta “O cliente é avisado em caso de quebra de sigilo?”, a qual a empresa responde:

Pode existir alguma situação na qual tenhamos que compartilhar as suas informações, como em caso de ordens judiciais e solicitações de autoridades competentes, de acordo com a legislação vigente no Brasil. Assim, registros de conexão, voz e dados poderão ser disponibilizados sem o seu conhecimento.

Dessa forma, a empresa avisa os clientes que alguns dados podem ser disponibilizados sem seu conhecimento, mas não promete notificar.

Ver a tabela

ALGAR

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Algar obteve ¼ de estrela, pois atendeu completamente ao parâmetro VI, e parcialmente aos parâmetros IV e V, o que faz com que tenha atendido ao equivalente a 2 parâmetros.

Quanto ao parâmetro IV, cabe citar a Política de Uso Aceitável da Algar segundo a qual a empresa respeita a privacidade de seus clientes e usuários, mantendo as informações coletadas sob rígidos padrões de segurança e confidencialidade. O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento. Diante disso, foi considerado que o parâmetro foi apenas parcialmente atendido.

Quanto ao parâmetro V, cabe citar a Cláusula 4.2.6. do Contrato de Prestação de Serviços (nos mesmo termos a Cláusula 4.2.11 do Contrato de Prestação de Serviços – Serviço de Comunicação Multimídia), em que se afirma o direito à privacidade dos clientes nos documentos de cobrança e na utilização de seus dados pessoais pela Algar. Os contratos analisados não trazem mais nenhuma informação sobre tratamento de dados pessoais de clientes e não foi possível encontrar qualquer outro tipo de informação no site que pudesse substituir àquelas que foram suprimidas dos contratos. A empresa afirma que a Política de Privacidade do site da Algar é aplicável, em alguns pontos, também a seus clientes, mas a falta de distinção entre “clientes” e “usuários” em sua redação impossibilita saber quais pontos seriam esses.

4.2.6 do Contrato de Prestação de Serviços e 4.2.11 do Contrato de Prestação de Serviços – Serviço de Comunicação Multimídia: Sem prejuízo das obrigações assumidas nas demais cláusulas desse instrumento e na legislação aplicável, o contratante tem direito: ao respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela contratada.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento. Diante disso, foi considerado que o parâmetro também foi apenas parcialmente atendido.

O único parâmetro que a empresa atendeu completamente foi o da facilidade do acesso ao contrato em seu site (VI), cuja referência se encontra na parte inferior da página inicial da Algar.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Algar obteve ¼ de estrela, pois atendeu apenas ao parâmetro I.

A Cláusula 5.2.15 do Contrato de Prestação de Serviços – Serviço de Comunicação Multimídia, afirma que a empresa poderá disponibilizar dados referentes a suspensão de sigilo de telecomunicações para autoridade judiciária ou legalmente investida de poderes que determinar a suspensão do sigilo.

5.2.15. A Algar telecom observará o dever de zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do contratante, empregando todos os meios e tecnologia necessários para assegurar esse direito do contratante e respectivos usuários, tornando disponíveis eventuais dados referentes a suspensão de sigilo de telecomunicações para a autoridade judiciária ou legalmente investida desses poderes que determinar a suspensão do sigilo.

Essa redação não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a Algar informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Algar obteve ½ estrela, pois atendeu apenas ao parâmetro I.

Quanto ao parâmetro I, a Algar foi pontuada pois ajuizou em 2017 junto a outras operadoras via Associação Nacional das Operadoras Celulares (Acel), a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, que confere a delegados de polícia e membros do Ministério Público a prerrogativa de requisitar informações e dados necessários à investigação criminal nos casos de tráfico de pessoas, independentemente de autorização judicial. A ACEL pede a concessão de liminar para que o STF dê à Lei 13.344/2016 interpretação conforme a Constituição Federal de modo a impedir entendimento que leve a medidas como interceptação telemática e de voz, localização de terminal ou IMEI (Identificação Internacional de Equipamento Móvel) de cidadão em tempo real por meio de ERB, extrato de ERB, dados cadastrais de usuários de IP, extratos de chamadas telefônicas e SMS, entre outros dados de caráter sigiloso. No mérito, pede a declaração de inconstitucionalidade parcial do dispositivo questionado.

Quanto ao parâmetro II, não encontramos nenhuma ação no site do Tribunal de Justiça de São Paulo na qual a Algar defendesse usuários ou contestasse pedidos abusivos. Na fase de engajamento com a empresa, também não obtivemos material que garantisse o cumprimento de qualquer dos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Algar não obteve estrela, pois atendeu não atendeu a qualquer parâmetro.

Na fase de engajamento com as empresas, pedimos que, caso tivessem participado de algum evento ou debate público sobre esses temas e, neles, tenha se manifestado em favor da privacidade dos usuários (guarda de dados, acesso a dados etc), nos informasse com a indicação dos respectivos documentos e/ou registros públicos da referida participação para que pudessemos considerar esse fato em nossa avaliação. A Algar, apesar de ter colaborado com o projeto, não nos forneceu materiais nesse sentido.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Algar não obteve estrela, pois não atendeu ao parâmetro.

A Algar publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado:

A Algar não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais analisados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Na fase de engajamento pedimos para que a empresa nos enviasse documentos que comprovassem a existência de práticas ou mecanismos nesse sentido. A Algar entretanto, não nos forneceu informações nesse sentido.

Ver a tabela

NEXTEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Nextel não obteve estrela, pois cumpriu um parâmetro integralmente (V) não alcançando a pontuação mínima de 2 parâmetros para conquistar ¼ de estrela.

O contrato não oferece quase nenhuma informação sobre os dados coletados. Apenas quanto ao parâmetro V, a empresa dá informações sobre as possibilidades do acesso a dados por terceiros.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL: 7.1. Além dos direitos previstos nas demais cláusulas deste instrumento e na normatização de regência, o Assinante poderá: a. Ter as informações relativas ao próprio Assinante e constantes do cadastro da NEXTEL, inclusive o Código de Acesso, mantidos em sigilo, as quais somente poderão ser fornecidas nas seguintes hipóteses: (i) ao próprio Assinante ou procurador munido de procuração com poderes específicos para acessar tais informações; (ii) para fins de divulgação em listas de assinantes em meio impresso ou digital, serviços de auxílio a lista e similares, desde que o Assinante tenha autorizado a divulgação do seu nome e Código e Acesso; (iii) para agência especializada ou banco de dados em face do inadimplemento de obrigações contratuais; (iv) em decorrência de determinação administrativa ou judicial.

Sobre o parâmetro VI, há muita dificuldade em se encontrar o contrato no site, sendo necessária a utilização de buscadores externos para localizá-lo.

Na fase de engajamento, a empresa defendeu que a ausência de procedimentos administrativos da autoridade reguladora contra a empresa atestariam sua situação de compliance legal. Afirmou, ainda, que da análise isolada da cláusula 7.1 do Contrato SMP da Nextel não se pode concluir que a Companhia estaria deixando de prestar ao consumidor, da forma correta, informações.

Apesar de enaltecer o engajamento da empresa com o projeto, o InternetLab entende que a empresa não apresentou fundamentação suficiente para gerar alteração de sua avaliação nesta categoria. Isto porque entendemos que o QDSD é um projeto que prestigia empresas que adotam boas práticas de proteção de dados de seus clientes no atendimento a obrigações legais, como é o caso quando informam de maneira completa, acessível, didática sobre como tratam dados pessoais de clientes. Além disso, o InternetLab concorda que não se pode concluir que a empresa não preste informações, quando requisitada, a seus clientes, mas esclarece que o propósito dessa categoria é também incentivar transparência, clareza e facilidade de acesso a informações completas, razão pela qual não pode ser premiada nesta categoria.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Nextel obteve ¼ de estrela, pois atendeu apenas ao parâmetro II ao afirmar, em seu contrato, em linhas gerais, que dados cadastrais poderão ser disponibilizados para terceiros em função de determinação administrativa ou judicial.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL: 7.1. Além dos direitos previstos nas demais cláusulas deste instrumento e na normatização de regência, o Assinante poderá: a. Ter as informações relativas ao próprio Assinante e constantes do cadastro da NEXTEL, inclusive o Código de Acesso, mantidos em sigilo, as quais somente poderão ser fornecidas nas seguintes hipóteses (…)(iv) em decorrência de determinação administrativa ou judicial.

A redação da Cláusula 7.1 não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado; nem nenhum outro material da empresa publicamente disponível. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como sempre fizemos, e como reiterado à empresa na fase de engajamento, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicos seus procedimentos e interpretações. É importante que a Nextel informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Nextel não obteve estrela, pois não atendeu a qualquer parâmetro.

Não foi possível encontrar ações judiciais na qual a empresa contesta aspectos que considera prejudiciais à privacidade, o que fez com que não cumprisse ao parâmetro I.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça de São Paulo com a palavra chave “Nextel” combinadas com outros termos, como “quebra + sigilo”, “quebra + sigilo + investigação” ou “investigação + Marco Civil da Internet”. Não encontramos ações nas quais a Nextel questionava pedidos abusivos de dados.

Na fase de engajamento com a empresa, também não recebemos material nem informação que atestasse o cumprimento de qualquer dos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Nextel não obteve estrela, pois não atendeu a nenhum parâmetro.

Na fase de engajamento com as empresas, pedimos que, caso tivessem participado de algum evento ou debate público sobre esses temas e, neles, tenha se manifestado em favor da privacidade dos usuários (guarda de dados, acesso a dados etc), nos informasse com a indicação dos respectivos documentos e/ou registros públicos da referida participação para que pudéssemos considerar esse fato em nossa avaliação. A Nextel, apesar de ter se engajado com o projeto, não forneceu materiais nesse sentido.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Nextel não obteve estrela, pois não atendeu ao parâmetro.

No endereço eletrônico da empresa, o último relatório disponível era do ano de 2013 e mesmo assim não foi possível acessá-lo.

Na fase de engajamento a empresa defendeu que a única justificativa para referida disponibilização de relatórios de transparência seria para fins estatísticos que, conforme legislação atual, é de responsabilidade da administração pública federal.

Apesar de enaltecer o engajamento da empresa com o projeto, o InternetLab entende que a empresa não apresentou fundamentação suficiente para gerar alteração de sua avaliação nesta categoria. Isto porque entendemos que o QDSD é um projeto que prestigia empresas que adotam boas práticas de proteção de dados de seus clientes. Assim, ainda que as empresas brasileiras não sejam legalmente obrigadas a produzir relatórios de transparência, acreditamos tratar-se de uma oportunidade para que as empresas estabeleçam uma relação de confiança com seus usuários, baseada na transparência, e contribuam para o debate público a respeito das prerrogativas de acesso a dados de usuários por parte das autoridades públicas.

CATEGORIA: Notificação do usuário

Resultado:

A Nextel não obteve estrela, pois não atendeu ao parâmetro.

Nos materiais analisados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Na fase de engajamento, a empresa defendeu não haver legislação que estabeleça tal exigência.

Ver a tabela

SKY

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Sky obteve ¼ de estrela, pois cumpriu integralmente o parâmetro V e parcialmente os parâmetros III e IV, totalizando dois parâmetros.

Quanto ao parâmetro III, em seu contrato a empresa afirma que manterá os dados cadastrais e registros de conexão dos clientes pelo prazo mínimo de três anos, mas não esclarece se e quando irá apagar essas informações, o que faz com que satisfaça parcialmente o parâmetro.

8.1 – XV – manter os dados cadastrais e os registros de conexão de seus CLIENTES pelo prazo mínimo de três anos.

Quanto ao parâmetro IV, afirma que respeitará o sigilo inerente aos serviços de telecomunicações, empregando todos os meios e tecnologia para atender a esse fim. No entanto, não há menção de procedimentos de anonimização de dados e outras medidas de segurança.

8.1. XIV – zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados e informações do CLIENTE, empregando todos os meios e tecnologia necessários para tanto

No que se refere ao parâmetro V, a empresa afirma que os dados cadastrais estão disponíveis para alguns terceiros, como empresas pertencentes ao seu grupo econômico, e para quais fins, como a sua utilização em material destinado à publicidade e formação de cadastro de clientes.

15.5.O CLIENTE cede gratuitamente seus dados cadastrais à OPERADORA e empresas pertencentes a seu grupo econômico, para utilização em material destinado à publicidade e formação de seu cadastro de CLIENTES, respeitado o sigilo garantido pela legislação.

Finalmente, sobre o parâmetro VI, não houve facilidade para achar a parte de contratos no site da empresa. Um buscador externo teve de ser utilizado para tal.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Sky obteve ¼ de estrela, pois atende ao parâmetro I ao afirmar, em seu contrato, que serão respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

CONDIÇÕES GERAIS DA PRESTAÇÃO DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA – BANDA LARGA: 7.2. Além de outros direitos previstos no presente Contrato e na legislação e regulamentação aplicável, o CLIENTE tem direito: V – à inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a Sky informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Sky não obteve estrela, pois não atendeu a qualquer parâmetro.

Não foi possível encontrar ações judiciais na qual a empresa contesta aspectos que considera prejudiciais à privacidade, o que fez com que não cumprisse ao parâmetro I.

Vale mencionar que, ao contrário das demais empresas analisadas que receberam crédito pelo parâmetro (I) por ajuizarem, via Associação Nacional das Operadoras Celulares (Acel), a Ação Direta de Inconstitucionalidade (ADI) 5642, no Supremo Tribunal Federal (STF), para impugnar dispositivo da Lei 13.344/2016, a Sky é um provedor de Internet banda larga fixa. A ADI em questão é de um coletivo de operadoras de telefonia móvel, as quais são também provedores de Internet móvel. A Sky é, contudo, igualmente afetada pelas obrigações dessa lei, o que também poderia ter lhe dado razão para desafiá-la.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça de São Paulo com a palavra chave “Sky” combinadas com outros termos, como “quebra + sigilo”, “quebra + sigilo + investigação” ou “investigação + Marco Civil da Internet”. Não encontramos ações nas quais a Sky questionasse pedidos abusivos de dados.

Pedimos a todas as empresas durante a fase de engajamento que nos enviassem exemplos de ações judiciais em que tenham contestado pedidos abusivos de dados por parte de autoridades ou outras violações da privacidade de usuários, para que possam ser considerados na avaliação final. A Sky, entretanto, não colaborou com o projeto.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Sky não obteve estrela, pois atendeu não atendeu a nenhum parâmetro.

Na fase de engajamento com as empresas, pedimos que, caso tivessem participado de algum evento ou debate público sobre esses temas e, neles, tenha se manifestado em favor da privacidade dos usuários (guarda de dados, acesso a dados etc), nos informasse com a indicação dos respectivos documentos e/ou registros públicos da referida participação para que pudéssemos considerar esse fato em nossa avaliação. A Sky, entretanto, não colaborou com o projeto.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Sky não obteve estrela, pois não atendeu ao parâmetro.

Na fase de engajamento pedimos para que a empresa nos enviasse documentos que comprovassem a existência de práticas nesse sentido. A Sky, entretanto, não colaborou com o projeto.

CATEGORIA: Notificação do usuário

Resultado:

A Sky não obteve estrela, , pois não atendeu ao parâmetro.

Nos materiais analisados, não há menção sobre mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado nos quais o sigilo não estiver imposto por lei.

Na fase de engajamento pedimos para que a empresa nos enviasse documentos que comprovassem a existência de práticas ou mecanismos nesse sentido. A SKY, entretanto, não colaborou com o projeto.

Ver a tabela

/Apresentação

/Quem somos

/Nosso método

Como foram escolhidas as empresas avaliadas?

Como chegamos à metodologia aplicada?

CATEGORIA: Informações sobre tratamento de dados

O que a lei brasileira diz?

Quais foram os parâmetros de avaliação?

Padrões de desempenho

O que a lei brasileira diz?

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA: Posicionamento público pró-privacidade

Qual foi o parâmetro de avaliação?

Padrões de desempenho

CATEGORIA: Relatório de transparência sobre pedidos de dados

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA: Notificação do usuário

Qual foi o parâmetro de avaliação?

Padrões de desempenho

/Nossas fontes

VIVO

TIM

CLARO

NET

OI

ALGAR

NEXTEL

SKY

/Resultados

CLARO

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

NET

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

OI

CATEGORIA: Informações sobre tratamento de dados

Oi Banda Larga Fixa

Oi Móvel

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

TIM

TIM Banda Larga

TIM Móvel

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

TIM Banda Larga

TIM Móvel

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

VIVO

CATEGORIA: Informações sobre tratamento de dados

Vivo Banda Larga Fixa

Vivo Móvel

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

ALGAR

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade