Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the polylang domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home1/inter105/public_html/quemdefendeseusdados.org.br/wp-includes/functions.php on line 6114 Quem Defende Seus Dados?
Pela sétima vez, avaliamos as políticas de privacidade e de proteção de dados das empresas provedoras de conexão à Internet no Brasil. Estes foram nossos resultados.
Relatórios de transparência e de impacto à proteção de dados
Notificação do usuário
Informações sobre a política de proteção de dados
Protocolos de entrega de dados para investigações
Defesa dos usuários no Judiciário
Postura pública pró-privacidade
Relatórios de transparência e de impacto à proteção de dados
Notificação do usuário
Ver tabela de resultados da pesquisa anterior
Ocultar tabela de resultados da pesquisa anterior
O InternetLab foi escolhido pela Electronic Frontier Foundation – EFF (EUA) para desenvolver o “Quem Defende Seus Dados?“, versão brasileira do “Who has your back?”.
O “Quem defende seus dados?” visa promover a transparência e a adoção de boas práticas em matéria de privacidade e proteção de dados pelas empresas provedoras de conexão à Internet no Brasil. Todos os anos, revisamos a metodologia, para contemplar alterações legislativas, inovações e controvérsias jurisprudenciais e atualizações de boas práticas em matéria de proteção da privacidade e de dados pessoais.
/Quem Somos
O InternetLab é um centro independente de pesquisa interdisciplinar que promove o debate acadêmico e a produção de conhecimento nas áreas de direito e tecnologia, sobretudo no campo da Internet. Constituído como uma entidade sem fins lucrativos, o InternetLab atua como ponto de articulação entre acadêmicos e representantes dos setores público, privado e da sociedade civil, incentivando o desenvolvimento de projetos que abordem os desafios de elaboração e implementação de políticas públicas em novas tecnologias, como privacidade, liberdade de expressão e questões ligadas a gênero e identidade.
A Electronic Frontier Foundation – EFF é uma organização não-governamental pioneira na defesa de direitos digitais. A organização trabalha com tecnólogos, ativistas e advogados para defender a liberdade de expressão online, combater a vigilância ilegal e advogar em nome dos usuários e da inovação.
/Nosso Método
Empresas avaliadas
Em sua sétima edição, o projeto avaliará as seguintes empresas: Oi banda larga fixa e móvel; Vivo banda larga fixa e móvel, TIM banda larga fixa e móvel, NET, Claro-NET, Brisanet banda larga fixa e móvel e Algar (apenas banda larga).
Metodologia aplicada
Apesar de inspirado no projeto estadunidense “Who Has Your Back?”, o “Quem Defende Seus Dados?” não reproduz exatamente sua metodologia. Afinal, a realidade social e jurídica brasileira é diferente da dos EUA.
Assim, elaboramos categorias e parâmetros de avaliação capazes de medir o compromisso público das empresas com a privacidade de seus usuários.
Cada empresa foi avaliada a partir de 6 categorias, cuja elaboração levou em consideração as exigências da legislação vigente (especialmente da Lei Geral de Proteção de Dados e do Marco Civil da Internet) e boas práticas internacionais em matéria de proteção à privacidade. Para esta avaliação, foram analisados os contratos de prestação de serviço, relatórios de sustentabilidade e demais documentos que estavam disponíveis nos websites das empresas até 14/10/2022. Buscamos ainda notícias que circularam na grande imprensa e mídia especializada. Foram considerados, para essa versão do Quem Defende Seus Dados, documentos, ações, posicionamentos etc. compreendidos entre junho de 2021 e outubro de 2022.
CATEGORIA 1: Informações sobre a política de proteção de dados
A empresa fornece informações claras e completas sobre suas práticas de proteção de dados?
Quais foram os parâmetros de avaliação?
(I) [Informações sobre coleta] A empresa fornece informações claras e completas sobre:(a) quais dados são coletados; (b) em que situações a coleta ocorre; (c) se há possibilidade de coleta de dados disponíveis publicamente; (d) listagem por nome, na política ou aviso de privacidade, de quais terceiros fornecem dados à empresa (inclusive fornecedores de dados públicos);e (e) Se há avaliação sobre a conformidade legal de terceiros com a LGPD.
(II) [Informações sobre finalidade] A empresa fornece informações claras e completas sobre: (a) a finalidade do tratamento pela própria empresa; e (b) a forma como se dá a utilização ou tipo de tratamento.
(III) [Informações sobre armazenamento, segurança e compartilhamento] A empresa fornece informações claras e completas sobre como protege dados pessoais, i.e.: (a) por quanto tempo e onde são armazenados; (b) em quais circunstâncias são apagados; (c) se e em quais circunstâncias são retidos; (d) quais práticas de segurança administrativa e técnica observa; (e) se há Política de Segurança Cibernética / TI publicada com informações sobre as proteções específicas contra malware, ransomware, worms e outros vírus; (f) quais categorias de colaborador podem ter acesso aos dados (controles de acesso); (g) com quais terceiros a empresa compartilha os dados (após a coleta); (h) para quais finalidades os dados são compartilhados (inclusive quando do uso de softwares, plataformas online, redes ou nuvens para uso interno da empresa); (i) quais as hipóteses de transferência internacional de dados;
(IV) [Informações sobre direitos] (a) Informar sobre quais são e os meios (e.g. e-mails ou links) para exercício dos direitos dos titulares sobre seus dados; (b) informar os titulares de seus direitos segundo a LGPD.
(V) [Respostas a solicitações de direitos] (a) A empresa forneceu confirmação de existência ou o acesso a dados pessoais mediante requisição de seus titulares, integrantes do InternetLab, por meio de declaração clara e completa, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, no prazo de até 15 (quinze) dias; ou em formato simplificado, imediatamente. (b) A empresa atendeu às requisições sobre direitos dos titulares, integrantes do InternetLab, em até um mês;
(VI) [Atualização da política de privacidade] A empresa promete enviar notificações (e.g. por e-mail ou SMS) ao usuário na hipótese de modificações de suas práticas de tratamento de dados.
(VII) [Acessibilidade] A empresa apresenta informações claras e completas sobre privacidade e proteção de dados de forma acessível em seu site (por exemplo em um “portal da privacidade” ou semelhantes), contanto que tais informações também estejam disponíveis nos contratos de adesão ou políticas de privacidade aplicáveis.
Padrões de desempenho
O provedor de Internet atende de 6 a 7 parâmetros.
O provedor de Internet atende de 4 a 5 parâmetros.
O provedor de Internet atende de 2 a 3 parâmetros.
O provedor de Internet atende a apenas um dos parâmetros.
O provedor de Internet não atende a nenhum dos parâmetros.
CATEGORIA 2: Protocolos de entrega de dados para investigações
A empresa se compromete a seguir a interpretação da lei mais protetiva do direito à privacidade diante da requisição de dados pessoais por agentes do Estado, e tem políticas específicas para esses casos?
Quais foram os parâmetros de avaliação?
(I) [Dados cadastrais: autoridades competentes identificadas] A empresa promete fornecer dados cadastrais por requisição (sem ordem judicial) apenas a autoridades administrativas competentes, além de identificá-las. Em outros casos, exige ordem judicial.
(II) [Dados cadastrais: autoridades e crimes identificados] A empresa promete fornecer dados cadastrais por requisição (sem ordem judicial) apenas a autoridades administrativas competentes, identificando-as, e apenas no âmbito da apuração dos crimes a que se referem os dispositivos da Lei 12.850/13, da Lei 9.613/98 e o artigo 13-A do CPP. Em outros casos, exige ordem judicial.
(III) [Dados de geolocalização] A empresa (a) oferece informações claras sobre as circunstâncias em que fornece dados de geolocalização, identificando se fornece dados em tempo real ou pretéritos e (b) promete entregar dados de geolocalização da vítima ou suspeito apenas mediante ordem judicial, quando necessário à prevenção e à repressão de crimes relacionados ao tráfico de pessoas ou, (c) ainda nestes casos, promete, apenas na ausência de manifestação judicial, entregar os dados no prazo de 12 (doze) horas, mediante requisição da autoridade competente.
(IV) [Registros de conexão] A empresa promete fornecer registros de conexão apenas mediante ordem judicial, estritamente nos termos definidos no Marco Civil da Internet (art. 5, inciso VI).
(V) [Protocolos específicos] A empresa publica protocolo de resposta a pedidos de entrega de dados pessoais a autoridades públicas.
Padrões de desempenho
O provedor de Internet atende a quatro ou cinco parâmetros.
O provedor de Internet atende a três parâmetros.
O provedor de Internet atende a dois parâmetros.
O provedor de Internet atende a um parâmetro.
O provedor de Internet não atende a nenhum dos parâmetros.
CATEGORIA 3: Defesa dos usuários no Judiciário
A empresa contestou administrativa ou judicialmente pedidos de dados abusivos, ou legislação que considera violar a privacidade de usuários?
Quais foram os parâmetros de avaliação?
(I) [Contestação de legislação] A empresa contestou judicialmente legislação, ou interpretação da legislação, que considera violar a privacidade de usuários de Internet, por ser desproporcional e/ou por não estabelecer de modo claro, preciso e detalhado os casos e circunstâncias em que dados devam ser entregues ou as salvaguardas adequadas para inibir eventuais abusos (Exemplos: arts. 15, 17 e 21 da Lei das Organizações Criminosas; art. 2, §2º da Lei 12.630/13; arts. 13-A e 13-B do Código de Processo Penal).
(II) [Contestação de pedidos abusivos] A empresa contestou judicial ou administrativamente, ao menos uma vez dentro do período analisado, pedidos abusivos de acesso a dados de usuários que extrapolaram as prerrogativas legais da autoridade solicitante e/ou eram desproporcionais, em razão de sua falta de clareza e precisão sobre dados requeridos e motivação, ou por qualquer outra razão que comprometa o direito à privacidade de usuários.
Padrões de desempenho
O provedor de Internet atende aos dois parâmetros.
O provedor de Internet atende a um parâmetro.
O provedor de Internet não atende a nenhum dos parâmetros
CATEGORIA 4: Postura pública pró-privacidade
A empresa se posicionou publicamente em defesa da privacidade e da proteção de dados, fortalecendo a cultura de proteção a esse direito no Brasil? Essa categoria levou em consideração a postura adotada pelas empresas em relação a casos de incidentes de segurança, bem como medidas defendidas pela empresa para a mitigação de riscos cibernéticos.
Esta categoria pretende avaliar a postura pública das empresas em relação a temas de privacidade e proteção de dados. Para isso, consideramos sua participação em consultas públicas, debates ou eventos acerca de leis, projetos de lei e políticas públicas que impactam usuários da rede, assim como seu posicionamento na mídia comum e especializada, por exemplo, em resposta a medidas governamentais que possam impactá-los.
Neste ano, observamos ainda a postura pública das empresas em relação ao uso de tecnologias de reconhecimento facial. Nosso interesse na temática é devido (i) às recentes ações judiciais e iniciativas da sociedade civil relacionadas a essa temática, (ii) à controvérsia existente na Lei Geral de Proteção de Dados sobre uso de dados biométricos para prevenção a fraudes sem necessidade de obtenção do consentimento do titular de dados, (iii) as questões de discriminação algorítimica e vieses potencialmente envolvidos no uso desssas ferramentas, e (iv) relatos, por parte de clientes, de que empresas de telecomunicações têm solicitado o reconhecimento facial de maneira obrigatória como um requisito para conclusão de cadastro.
Avaliamos, nesse contexto, o comprometimento das empresas com a defesa dos dados pessoais de seus usuários, manifesto em seu posicionamento em consultas públicas, debates ou na mídia, a respeito de tais iniciativas. Para fins de pontuação, não levaremos em consideração se as empresas simplesmente responderam às exigências feitas pelas autoridades públicas, mas sim a conduta e posicionamento adotados publicamente pelas empresas nessas situações.
Consideramos apenas a participação feita em nome da própria empresa e não por associações compostas por várias empresas – como o SindiTeleBrasil – pois acreditamos que o posicionamento público institucional da empresa é essencial para gerar o vínculo de confiança e compromisso com os seus usuários.
Quais foram os parâmetros de avaliação?
(I) [Posicionamento em geral] A empresa se posicionou em nome próprio, em quaisquer consultas públicas, debates, ou na mídia, especializada ou não, e defendeu concretamente a aprovação de normas ou adoção de técnicas que aumentem a proteção conferida aos usuários dos seus serviços?
(II) [Posicionamento sobre reconhecimento facial] A empresa se posicionou em nome próprio, em consultas públicas, debates, ou na mídia, especializada ou não, contra a obrigatoriedade de procedimentos de reconhecimento facial para fins de cadastro ou acesso aos serviços de telefonia móvel.
Padrões de desempenho
O provedor de Internet atende aos dois parâmetros.
O provedor de Internet atende a 1 parâmetro.
O provedor de Internet não atende a nenhum dos parâmetros.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
A empresa publica periodicamente relatórios de transparência, em português e facilmente acessíveis, com informações básicas sobre pedidos de dados por autoridades públicas? A empresa elabora e publica relatórios de impacto à proteção de dados pessoais?
Quais foram os parâmetros de avaliação?
(I) [Publica relatório] Publica relatório de transparência em português sobre privacidade e proteção de dados.
(II) [Acessibilidade do relatório] Possui relatório de transparência facilmente acessível ao público em geral.
(III) [Periodicidade do relatório] Publica relatório de transparência com periodicidade mínima anual.
(IV) [Informações sobre pedidos de acesso a dados] Apresenta, no relatório de transparência:a) Informações sobre pedidos de acesso a dados recebidos, atendidos e rechaçados; b) Informação sobre o tipo de dado solicitado (se as demandas buscavam conteúdo de comunicação, apenas metadados ou ambos); c) Informações sobre número de contas afetadas.
(V) [Relatório de impacto à proteção de dados] Elabora e publica relatórios de impacto à proteção de dados pessoais.
Padrões de desempenho
O provedor de Internet atende a todos os parâmetros.
O provedor de Internet atende a quatro parâmetros.
O provedor de Internet atende a dois ou três parâmetros.
O provedor de Internet atende a um parâmetro.
O provedor de Internet não atende a nenhum dos parâmetros.
CATEGORIA 6: Notificação do usuário
A empresa notifica usuários quando recebe pedidos de dados?
Qual foi o parâmetro de avaliação?
(I)[Notificação] Promete notificar usuário antes da entrega de dados cadastrais e registros de conexão, sempre que o sigilo da entrega não for imposto por lei ou determinado em decisão judicial, ou no primeiro momento em que a notificação for permitida.
Padrões de desempenho
O provedor de Internet atende ao parâmetro.
O provedor de Internet não atende ao parâmetro.
/Nossas Fontes
Consultamos contratos-modelo e políticas de privacidade disponíveis em websites, salas de imprensa e outras manifestações oficiais das empresas avaliadas. Foram considerados os documentos publicamente acessíveis até 14/10/2022 (data final para a fase preliminar).
Termos de uso ou políticas de privacidade relacionados à utilização do website das empresas não foram considerados. Além disso, como diversas ações judiciais nos foram informadas pelas empresas com identificadores tarjados, por tramitarem em segredo de justiça, não foi possível apontar a numeração de todas as ações judiciais consideradas. O recebimento de tais ações por nós, no entanto, foi relatado no decorrer dos resultados individuais deste relatório.
Relatórios de transparência e de impacto à proteção de dados
Notificação do usuário
Informações sobre a política de proteção de dados
Protocolos de entrega de dados para investigações
Defesa dos usuários no Judiciário
Postura pública pró-privacidade
Relatórios de transparência e de impacto à proteção de dados
Notificação do usuário
Ver tabela de resultados da pesquisa anterior
Ocultar tabela de resultados da pesquisa anterior
CLARO-NET
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Nesta categoria, a Claro-NET obteve estrela cheia, tendo atendido aos parâmetros I, II, III, IV, VI e VII, e estando pendente, nesta fase de engajamento, o parâmetro V.
A Claro atende integralmente ao parâmetro I, fornecendo informações claras e completas sobre os 5 sub-parâmetros.
O sub-parâmetro (a), referente aos dados coletados, foi considerado atendido. Em seu Portal da Privacidade, a empresa elenca extensivamente os dados coletados (vide excerto abaixo):
Quais dados pessoais a Claro-NET coleta e para quais finalidades eles são utilizados?
Dados Cadastrais:
Quais Dados: nome, e-mail, endereço, telefone, CPF, RG, data de nascimento e gênero.
Finalidades: são importantes para algumas ações, como preenchimento do seu contrato de serviço, emissão de nota fiscal e, também para nos comunicarmos com você.
Dados de Navegação e Uso dos Produtos e Serviços Claro-NET:
Quais Dados: informações sobre navegadores e dispositivos, incluindo endereço de IP, relatórios de erros, atividade do sistema, data, hora e URL, dados sobre ligações e telefonia incluindo destino, duração e envio de mensagens SMS. Além disso, informações sobre chamadas realizadas e recebidas, envio de SMS, volume de dados utilizados e antenas que atendem você.
Finalidades: mensurar a qualidade dos nossos serviços para que você possa entender a fatura, ter seu próprio controle e para que a Claro-NET possa cumprir com as determinações previstas pelo nosso órgão regulador e pela legislação.
(…)
O InternetLab enaltece, ainda, a conduta da Claro-NET de esclarecer quais dados coleta das pessoas que sequer são seus clientes, como se vê no seu Portal da Privacidade:
Se você entrou em contato com nossa Central de Vendas em busca da contratação de um produto ou serviço, mas interrompeu a contratação, o seu contato fica registrado e podemos entrar em contato para entender melhor como podemos ajudar.
Da mesma forma, se você entrar em algum de nossos sites e escolher alguns produtos, mas abandonar o carrinho, vamos lembrá-lo a respeito dessa intenção de compra para confirmar se você mantém o interesse.
Obtemos informações de empresas com bases de dados legítimas e de procedência adequada, para buscar trazer novos clientes para a Claro-NET.
Temos agentes autorizados, que vendem produtos e serviços da Claro-NET e realizam atendimento conforme previsto na regulamentação. Eles também prospectam clientes e são orientados a seguir as boas práticas relacionadas, inclusive consulta aos cadastros Não Perturbe e Não me Perturbe.
O sub-parâmetro (b), referente às situações em que a coleta ocorre, também foi considerado atendido. Isso porque, mesmo que não haja redação específica nesse sentido, nos mesmos trechos apontados acima, informa-se indiretamente quais as situações em que a coleta ocorre (e.g. na navegação e no uso dos produtos, no preenchimento do contrato de serviço etc.) Considerou-se que tais informações são capazes de detalhar as situações em que a coleta ocorre.
O sub-parâmetro (c), referente à possibilidade de coleta de dados disponíveis publicamente, foi considerado atendido. Na mesma seção apontada no sub-parâmetro (a) acima, há o relato de que dados públicos disponíveis são coletados pela empresa.
O sub-parâmetro (d), referente à listagem de quais terceiros fornecem dados à empresa, foi considerado atendido. A empresa divulgue, no Portal de Privacidade, a lista de terceiros com quem compartilha os dados por categorias.
Por fim, o sub-parâmetro (e), relativo à avaliação sobre a conformidade legal de terceiros com a LGPD, foi considerado atendido. Isso porque a Claro-NET estipula cláusula específica sobre privacidade e proteção de dados em que são exigidos dos terceiros pleno cuidado e garantias do tratamento dos dados
Quanto ao parâmetro II, referente ao fornecimento de informações claras e completas sobre a finalidade da utilização dos dados, considerou-se atendido, pois ambos os sub-parâmetros (a) e (b) foram atendidos.
O sub-parâmetro (a), referente à finalidade do tratamento dos dados, foi considerado atendido. No seu Portal da Privacidade, na seção “Quais dados pessoais a Claro-NET coleta e para quais finalidades eles são utilizados?”, a empresa explica, de forma detalhada, quais são as funções para cada dado coletado. Como no caso dos Dados Cadastrais:
Quais Dados: nome, e-mail, endereço, telefone, CPF, RG, data de nascimento e gênero.
Finalidades: são importantes para algumas ações, como preenchimento do seu contrato de serviço, emissão de nota fiscal, cadastramento e acesso aos aplicativos e atendimento por Internet da Claro-NET e também para nos comunicarmos com você.
O sub-parâmetro (b), referente à forma como se dá a utilização ou tipo de tratamento, foi considerado atendido. No trecho “Fique por dentro dos tratamentos de dados feitos pela Claro-NET”, de sua Política de Privacidade, a empresa indiretamente esclarece as maneiras de uso dos dados pessoais coletados. Além disso, aponta no início do seu Portal de Privacidade:
Aqui, você fica por dentro dos tratamentos de dados feitos pela Claro-NET em:
Mobilidade, como planos pré-pagos, controle e pós-pagos;
Entretenimento, como NOW e TV (DTH e cabo);
Conectividade, como banda larga Vírtua e Wi-fi;
Empresas, soluções Claro-NET empresas e Embratel.
Quanto ao parâmetro III, referente ao fornecimento de informações claras e completas sobre a proteção de dados pessoais, considerou-se que foi atendido, pois os sub-parâmetros (a), (b), (c), (d), (e), (f), (g), (h) e (i) foram atendidos.
O sub-parâmetro (a), referente ao tempo e local de armazenamento dos dados, foi considerado atendido. No seu Portal de Privacidade, na seção “Por quanto tempo a Claro-NET trata seus dados e onde?”, a empresa informa os prazos de armazenamento detalhados para cada tipo de dado coletado e o local de seu armazenamento. Ressalta-se que a empresa é categórica quanto ao prazo de armazenamento, dando a entender que se tratam de prazos exatos – nem máximos, nem mínimos – e quanto ao local também, não afirmando haver armazenamento em terceiros ou servidores em locais indefinidos.
A Claro-NET trata seus dados pelo tempo que durar a prestação dos seus serviços, mas também precisa manter seus dados após o término da sua relação com a Claro-NET para cumprir com a lei, como nos casos em que seja necessário fornecer dados às autoridades públicas ou mesmo realização de defesa em processos judiciais.
Alguns exemplos de prazos de retenção pela Claro-NET são:
seis meses – registros de acesso a Funcionalidades de internet nos aplicativos próprios da Claro-NET;
um ano – registros de conexão à internet, sendo que não guardará os registros de acesso a funcionalidades de internet;
um ano e três meses – gravação da interação entre consumidor e atendente no SAC;
seis anos – documentos fiscais que englobam dados das ligações efetuadas e recebidas, data e horário de duração e valor da chamada.
dez anos – dados cadastrais e de faturamento;
A Claro-NET armazena os dados de forma segura e com rígido controle de acesso. Esses dados encontram-se armazenados em seus servidores nos data centers situados nas cidades de São Paulo, Campinas e Rio de Janeiro.
Quanto ao sub-parâmetro (b), referente a quando/se os dados são apagados, considerou-se que foiatendido. Isso porque, no mesmo trecho apontado acima, infere-se que os dados são apagados após o decurso do prazo apontado.
O sub-parâmetro (c), relativo às circunstâncias de retenção dos dados, foi atendido. No Portal de Privacidade, no mesmo item referenciado acima, há as hipóteses de retenção dos dados.
O sub-parâmetro (d), relativo às práticas de segurança da empresa, foi considerado atendido. No Portal de Privacidade, a empresa se compromete a seguir padrões de segurança e controle, sem especificar neste documento, no entanto, quais são as práticas adotadas.
A Claro-NET utiliza:
soluções e medidas técnicas de segurança, visando preservar a inviolabilidade dos dados compatíveis com os padrões internacionais e com as boas práticas do setor;
medidas de segurança apropriadas na atuação contra os riscos de perda acidental ou ilegal, alteração, divulgação ou acesso não autorizado.
Apesar da informação genérica do Portal de Privacidade, a empresa apresenta mais informações sobre as práticas de segurança adotadas nos Sustainability Report 2021 (p. 48) do grupo América Móvil. De acordo com o relatório, o sistema adotado no Brasil é o Security Operation Center com certificado ISO 27001 Safety Management Systems.
O sub-parâmetro (e), referente à existência ou não de Política de Segurança Cibernética/TI, foi considerado atendido. Na mesma parte do documento, a referência ao certificado ISO 27001 Safety Management Systems demonstra a preocupação da empresa com uma política específica no tema.
Quanto ao sub-parâmetro (f), relativo a quais categorias de colaborador podem ter acesso aos dados, considerou-se atendido. Isso porque a empresa divulga, em seu Portal de Privacidade, no item “Quem tem acesso aos seus dados na Claro-NET?”, sobre o controle de acesso por meio de uma “Políticas de Acesso às informações”.
Quanto ao sub-parâmetro (g), relativo a quais terceiros a empresa compartilha os dados após a coleta, considerou-se que foiatendido. No item “Com quem a Claro-NET compartilha dados?”, a empresa expõe categorias gerais de empresas com as quais podem ser compartilhados os dados:.
A Claro-NET é considerada controladora dos dados pessoais, assim como cada uma das empresas do grupo. São elas:
Claro S/A – prestadora dos serviços de telefonia móvel, telefonia fixa, longa distância nacional, televisão por assinatura a cabo, internet fixa e móvel e serviços de valor adicionado;
Embratel TVSAT Telecomunicações – prestadora dos serviços de televisão por assinatura, por meio da tecnologia DTH;
Claro Nxt – prestadora dos serviços de telefonia móvel e longa distância nacional.
Para realizar todas as suas atividades, a Claro-NET precisa compartilhar seus dados com alguns terceiros. Afinal, são eles que vão prestar serviços para você e deverão observar certos cuidados, como a segurança dos seus dados. Veja quais são esses terceiros:
Empresas de Call Center – Realização de atendimento a clientes e clientes prospectivos.
Empresas de Serviços Técnicos – Instalação e manutenção de serviços Claro-NET, como TV e Internet.
Empresas que comercializam conteúdos via Claro-NET – Comercialização de conteúdos de terceiros nos canais de vendas da Claro-NET e que precisam de algumas informações para ativarem os conteúdos e assinaturas.
Empresas de Crédito e Cobrança – Realização de cobranças das faturas em aberto.
Empresas de Soluções de Crédito – Fornecimento de insumos para o desenvolvimento de produtos voltados à análise e concessão de crédito e soluções antifraude.
Agentes Autorizados – Venda de produtos e serviços com a marca Claro-NET, que muitas vezes são a porta de entrada dos clientes
Além disso, em seu Contrato de Prestação de Serviço SMP pré-pago, afirma:
15.6 Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços.
Quanto ao sub-parâmetro (h), relativo às finalidades do compartilhamento de dados com terceiros, considerou-se que foi atendido, em vista dos detalhamentos de cada compartilhamento conforme trecho do Portal da Privacidade apontado acima.
O sub-parâmetro (i), relativo à transferência internacional de dados, foi considerado atendido. Em seu Portal da Privacidade, a Claro-NET possui um item destinado à transferência internacional de dados:
A Claro-NET também contrata armazenamento em nuvem de fornecedores e parceiros localizados em outros países, o que é uma prática comum e segura de mercado. Esse tipo de tratamento é fundamental para a prestação dos serviços contratados com a Claro-NET e poderá ser realizado fora do território nacional, por exemplo, em servidores localizados em outros países com grau de proteção de dados pessoais adequados ao previsto na Lei. Ainda assim, a Claro-NET segue atenta às orientações da ANPD, que futuramente regulamentará esse tipo de tratamento.
O parâmetro IV, que avalia se a empresa disponibiliza informações claras e completas acerca dos direitos dos titulares, foi considerado atendido. Os sub-parâmetros (a) e (b) foram atendidos.
O sub-parâmetro (a), relativo aos quais são e os meios para exercício dos direitos dos titulares sobre seus dados, considerou-se atendido. No Portal da Privacidade, há a seção “Quais são os seus direitos em relação aos seus dados pessoais?”, em que a empresa informa sobre a existência dos direitos do titular previstos na Lei Geral de Proteção de Dados. A empresa informa, também, em cada caso, os meios para o exercício destes direitos – ou através do próprio Portal da Privacidade, ou mediante e-mail ao DPO da Claro-NET.
O sub-parâmetro (b), relativo às informações sobre quais são os direitos do titular segundo a LGPD, foi considerado atendido, de acordo com o mesmo item exposto acima.
O parâmetro V, que avalia se a empresa respondeu tempestivamente à solicitação de pedidos de acesso aos dados por integrantes do InternetLab, foi considerado atendido. A empresa possui portal de acesso a direitos dos titulares com extrato dos dados utilizados. Embora um membro da equipe tenha tido problemas técnicos para acessar o portal, a situação foi resolvida pela empresa.
O parâmetro VI, que avalia se a empresa promete enviar notificações ao usuário quando da atualização de suas políticas de privacidade, foi considerado atendido. A Claro-NET realiza campanhas de comunicação de atualização da sua Política de Privacidade.
Por fim, o parâmetro VII, referente à acessibilidade das informações sobre privacidade e proteção de dados, foi considerado atendido. No rodapé da página inicial do site da Claro-NET, há o link para a Política de Privacidade. Ao acessar esse link, o usuário é redirecionado para o Portal de Privacidade da Claro-NET, em que constam a “Política de privacidade”, a “Política de cookies” e “Direitos de privacidade”. As informações que constam no Portal de Privacidade são bastante claras e de fácil acesso ao cliente.
Assim como, as informações que constam na Política de Privacidade são apresentadas nos contratos da Claro-NET.
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Claro-NET obteve estrela cheia, tendo cumprido os parâmetros de I a IV ecumprido parcialmente o parâmetro V.
O parâmetro I, referente à identificação das autoridades competentes para requisitar dados, foi considerado cumprido. Em seu Portal de Privacidade, a empresa informa sobre as situações em que compartilha dados com o Setor Público:
Setor Público – A Claro-NET também compartilha dados pessoais com nosso órgão regulador — ANATEL —, mediante requisições de autoridades administrativas competentes, como Polícia Civil, Polícia Federal, Polícia Militar, Polícia Legislativa, em cumprimento às legislações específicas*; Ministério Público Estadual, Ministério Público Federal, Ministério Público Militar.
Nas demais situações, através de cumprimento de decisões judiciais.
Ainda neste aspecto, vale destacar que a empresa faz referência no contrato a dispositivos da ANATEL que contêm direitos e estabelecem deveres:
Contrato de prestação de serviço de comunicação multimídia (SCM)
35.02 Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.
Contrato de prestação de serviços SMP pré-pago:
“16.6 Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços.”
O parâmetro II, referente à identificação das autoridades competentes e dos crimes no âmbito dos quais a requisição ocorrer, foi considerado atendido. No mesmo trecho apontado do seu Portal de Privacidade acima, a empresa aponta as leis sob as quais as autoridades apontadas (Polícia Militar, Legislativa etc.) poderão requisitar dados. Além disso, menciona superficialmente os crimes apontados no Art. 13-A do Código de Processo Penal no trecho relativo aos dados de localização, conforme trecho transcrito abaixo.
O parâmetro III, referente ao oferecimento de informações sobre dados de geolocalização, foi considerado atendido. A empresa fornece as informações em seu Portal de Privacidade, ao apontar “Quais dados pessoais a Claro-NET coleta e para quais finalidades eles são utilizados”:
Dados de Localização:
Quais Dados: dados de geolocalização.
Finalidades:
– criação de produtos e serviços não relacionados à publicidade, como o Claro-NET Valida-explicado mais abaixo;
– medir e realizar melhorias na qualidade dos serviços Claro-NET na sua localidade e cumprir com as determinações previstas pelo órgão regulador e pela legislação. Quando necessário à prevenção e à repressão de crimes relacionados ao tráfico de pessoas, fornecemos acesso a esses dados em atendimento a ordens judiciais ou, na ausência de manifestação judicial no prazo de 12 (doze) horas, mediante requisição das autoridades competentes.
O parâmetro IV, referente à promessa de fornecer registros de conexão apenas mediante ordem judicial estritamente nos termos do Marco Civil, foi considerado atendido. No Portal de Privacidade da Claro-NET, definem-se os registros de conexão e promete-se que serão entregues somente mediante ordem judicial:
Registros de Conexão à Internet:
Quais Dados: informações relativas à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados.
Finalidades: Cumprimento de obrigações regulatórias previstas na Lei 13.965/14, o Marco Civil da Internet (MCI). Requisições de acesso aos registros de conexão só são concedidas nos termos do Marco Civil da Internet (MCI), sempre através de determinação judicial.
Por fim, o parâmetro V, relativo à existência de protocolos específicos sobre entrega de dados ao Estado, foi considerado parcialmente atendido. Isso porque, é possível encontrar, na página 51 do Relatório de Sustentabilidade AMX, os números de entrega de dados ao Estado, contudo, o relatório encontra-se apenas em espanhol, sem uma versão em português.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Claro-NET obteve estrela cheia, pois atendeu aos dois parâmetros analisados.
Quanto ao parâmetro I, referente à contestação de legislação, realizamos buscas exploratórias nos sites do Supremo Tribunal Federal e do Superior Tribunal de Justiça por processos em que a empresa fosse parte, e não localizamos quaisquer ações em que a Claro-NET contesta a legislação relacionada aos procedimentos de entrega de dados ao judiciário. Ressaltamos que nossa busca, por questões de escopo e tempo, não buscou por ações do tipo nos tribunais estaduais, relativas, portanto, a legislações ou interpretação de legislações de âmbito estadual. As empresas têm a possibilidade de, durante a fase de discussão dos parâmetros e troca de documentos, comprovar sua atuação nesse sentido.
Em 29/03/2022, o STF publicou o julgamento da Ação Direta de Inconstitucionalidade número 4924/DF, em que a Associação Nacional das Operadoras Celulares – ACEL, da qual a Claro-NET faz parte, pediu pela declaração de inconstitucionalidade da Lei 17.107/12, do Estado do Paraná, que dispõe sobre penalidades ao responsável pelo acionamento indevido dos serviços telefônicos de atendimento a emergências envolvendo remoções ou resgates, combate a incêndios, ocorrências policiais ou atendimento de desastres (trote telefônico). A lei visava estabelecer obrigação às operadoras de telefonia de fornecer os dados dos proprietários de linhas telefônicas que acionem indevidamente os serviços de atendimento diante de mero ofício por qualquer órgão ou instutuição pública envolvida. A ACEL argumentou em favor da inviolabilidade da intimidade, vida privada horna e do sigilo das comunicações telefônicas (segundo estabelecido no artigo 5º, incisos X e XII da Constituição Federal), mencionando a indisponibilidade do direito à proteção de dados pessoais em sua argumentação.
Além disso, a ACEL havia ajuizado a ADI 5040/PI, publicada em 2021 (não incluída em nosso relatório anterior), em que questionava a legalidade da Lei Nº 6.336/2013 do Estado do Piauí, que obrigava as empresas prestadoras de serviço de telefonia móvel pessoal a fornecerem, aos órgãos de segurança pública, dados relativos à localização de telefones celulares e cartões “SIM” que tivessem sido objeto de furto, roubo e latrocínio ou utilizados na prática de delitos. Entre seus argumentos, a ACEL também alegou grave ofensa à privacidade de seus clientes na hipótese de divulgação das informações pessoais, citando a Constituição e o direito fundamental à privacidade, além da inviolabilidade dosigilo telefônico.
Por fim, para averiguação do parâmetro II, referente à contestação de pedidos abusivos, realizamos buscas exploratórias na base de dados do Tribunal de Justiça do Estado de São Paulo e no portal “Jusbrasil”, em ambos os casos pelos termos “Claro E sigilo E quebra” e por acórdãos publicados entre 21/06/2021 e 19/10/2022. Encontramos diversas ações nas quais Claro-NET contestou pedidos de dados de seus clientes pela falta de ordem judicial determinando a entrega dos dados.
Por exemplo, encontramos, no relatório do acórdão referente ao Processo 1042581-72.2021.8.26.0100:
“Citada, a corré Claro S/A apresentou contestação às fls. 72/80. Em preliminar, suscitou falta de interesse de agir pela perda do objeto da ação, uma vez que o autor requereu IPs de março de 2020 e anteriores a esta data. Que, o art. 13 do Marco Civil determina a obrigatoriedade das empresas provedoras de conexão em manter a guarda pelo período de até um ano. Se analisar o acesso mais antigo, de março de 2020, o dever de guarda cessou em março de 2021, além do Marco Civil determinar a exclusão do acesso após o período de guarda. A ordem foi recebida em junho de 2021. No mérito, alegou que não se nega a prestar as informações pleiteadas, desde que precedias de ordem judicial, visto que a prestação de tais informações envolve quebra de sigilo, cuja proteção dos dados cadastrais é assegurada pela Constituição Federal.”
Também, no julgamento do Processo, 1058034-44.2020.8.26.0100 deste ano, encontramos:
“A Corré Claro S/A requer a reforma da sentença. Alega, em breve síntese, que, no caso em comento, falta interesse de agir para o Autor, bem como que o pedido é impossível, haja vista que o suposto acesso ao sistema de telecomunicações pelos ofensores ocorreu em período anterior ao prazo de 1 (um) ano de resguardo dos dados determinado pelo art. 13 da Lei. 12.965/14 (Marco Civil da Internet), tornando a obrigação de fornecer tais informações de acesso, inexequível.”
Ações consideradas nas versões anteriores do Quem Defende Seus Dados, a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, não foram consideradas, já que não registraram movimentações relevantes em vista da suspensão do julgamento e pedido de vista pelo Ministro Nunes Marques (em 17/06/2021).
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a Claro-NET obteve meia estrela, pois atendeu a um dos parâmetros.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado atendido. Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários.
Além disso, a Claro-NET participou, por meio da Conexis do lançamento do Código de Boas Práticas de Proteção de Dados para o Setor de Telecomunicações, apresentado à Autoridade Nacional de Proteção de Dados.
Além disso, a empresa se manifestou publicamente nos seguintes casos:
– 09/2021 Contribuições à minuta de resolução que regulamenta a aplicação da Lei nº 13.709, para agentes de tratamento de pequeno porte, submetida à Consulta Pública;
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a Claro-NET obteve ¾ de estrela, pois atendeu integralmente a 3 parâmetros, I, II e III e parcialmente ao parâmetro IV.
O parâmetro I foi considerado atendido. A empresa publicou Relatório de Transparência/Social em seu site.
O parâmetro II foi considerado atendido. O Relatório pode ser facilmente acessado no Portal de Privacidade no ícone “Relatório de Transparência”, sendo direcionado para o Relatório de 2021, publicado em 2022.
O parâmetro III foi considerado atendido. A empresa publicou por dois anos seguidos os Relatórios de Transparência, em 2021 e em 2022.
O parâmetro IV foi considerado parcialmente atendido. A empresa publicou, no Relatório de Transparência, que em 2021 houve 32.949 pedidos de quebra de sigilo. Todavia, não publicou quantos desses pedidos foram atendidos e quantos foram rechaçados.
O parâmetro V, por sua vez, relativo à publicação de Relatórios de Impacto à Proteção de Dados, também não foi considerado atendido. Não foram localizados quaisquer documentos nesse sentido em nossas buscas.
CATEGORIA 6: Notificação do usuário
Resultado:
A Claro-NET não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
OI
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Na Categoria 1, a Oi obteve estrela cheia, pois atendeu a cinco parâmetros dos sete estabelecidos pela Categoria 1.
Em relação ao parâmetro I, relacionado aos procedimentos de coleta de dados pessoais, consideramos o seguinte:
Subparâmetro (a): integralmente atendido, por meio da disponibilização, no Aviso de Privacidade da Oi, seção 3 (“Quais dados são coletados?”) de um descritivo de todos os tipos de dados pessoais coletados discriminados por categoria de titular (“Clientes e Ex-Clientes” ou “Não Clientes”); Com relação aos Clientes, a Oi alega coletar:
Dados de Cadastro: Nome, CPF, RG, data de nascimento, nacionalidade, filiação, E-mail, Telefone residencial e móvel, Endereço residencial e comercial, Profissão e/ou ocupação;
Dados financeiros: Histórico de crédito ou de pagamentos, Datas de pagamento, Valores em aberto ou pagamentos recebidos, Informações de fatura, Informações do cartão de crédito ou débito e conta bancária, Dados de uso dos produtos e serviços Oi, Dados de tráfego: Registro das ligações efetuadas e recebidas através do serviço de telefonia fixa (STFC) e o tempo de duração, Dados de navegação: data e hora de início e término de uma conexão à internet; duração da conexão; endereço IP e cookies;
Dados de perfil: informações sobre consumo/uso de serviços, produto contratado, região de contratação, faixa etária, preferências informadas em pesquisas.
Com relação aos Não Clientes (segundo o Fluxo, referentes a prospects, terceiros e colaboradores), a Oi alega coletar:
Dados de Cadastro: Nome, CPF, RG, data de nascimento, E-mail, Telefone residencial e/ou móvel, Endereço residencial e/ou comercial;
Dados financeiros: Informações do cartão de crédito ou débito e conta bancária, Score de crédito;
Dados de navegação: Endereço de IP, Local de conexão, Cookies.
Subparâmetro (b): integralmente atendido, por meio do Fluxo de Dados disponibilizado no Programa Oi de Privacidade (também acessível pelo Aviso de Privacidade, seção 2), com detalhamento das situações em que a coleta ocorre (tanto direta quanto indiretamente);
O item 5 do Aviso de Privacidade “Como é feita a coleta de dados” também fornece um detalhamento das diferentes formas de coleta empregadas pela Oi. A coleta automática por meio de sites e aplicativos é feita por meio de cookies, para os quais o Aviso de Cookies disponibilizado pela Oi fornece mais informações como (i) tipos de cookies e (ii) como gerenciar as preferências de cookies. Não há especificação, no entanto, de quais finalidades são atribuídas a cada tipo de dado coletado por cookies. Também não há especificação de quais dados são coletados automaticamente durante a utilização dos serviços da Oi, nem as finalidades para as quais são tratados.
“Diretamente com você
Na aquisição de serviços e produtos em nossas lojas, sites e parceiros
Na atualização de dados em nossos sites, aplicativos e outros canais de atendimento
Ao responder nossas pesquisas de satisfação
Automaticamente
Quando você navega em nossos sites e aplicativos (através de cookies) ou utiliza nossos serviços.
De forma indireta
Através de empresas parceiras com as quais você tenha um vínculo/cadastro”
Subparâmetro (c): integralmente atendido. Há possibilidade de coleta de dados públicos por meio de websites – tal como apresentado no Fluxo de Dados disponibilizado no Programa Oi de Privacidade.
Subparâmetro (d):integralmente atendido. As informações do Aviso de Privacidade e Programa de Privacidade apresentam listagem das categorias de terceiros que fornecem dados à Oi. O Fluxo apresenta uma descrição geral das categorias de terceiros que recebem dados da Oi, após coleta independente da operadora.
Subparâmetro (e): integralmente atendido. No Programa de Privacidade, a Oi afirma que avalia a conformidade legal de terceiros com a LGPD nos aspectos de “segurança, controles de acesso, cláusulas e procedimentos de gestão e acompanhamento que assegurem a proteção de dados”. Não somos informados, no entanto, sobre quais os procedimentos específicos empregados pela Oi para assegurar que os terceiros mantenham um nível adequado de proteção de dados pessoais (ex.: fiscalizações e auditorias, seguimento de protocolos de segurança específicos, aderência a cláusulas especificadas pela Oi e disponibilizadas ao público, etc.). No Programa de Privacidae, encontramos:
“[…] Devemos assegurar em cada uma das interações realizadas em nosso ambiente de dados
Com nossos terceiros: (i) a existência de controles de acesso dos dados disponibilizados ou acessados; (ii) que apenas os dados necessários para as finalidades do compartilhamento sejam de fato disponibilizados; (iii) que as transferências de informações sejam efetuadas de modo seguro; (iv) a existência de cláusulas contratuais que respaldem a relação; (v) a existência de diligências necessárias de acordo com a criticidade da relação; (vi) a devida gestão e acompanhamento do terceiro.”
O Relatório de Sustentabilidade 2021 da Oi também afirma que:
“Por meio do canal de atendimento de direitos, em especial os pedidos de não recebimento de ofertas, a Companhia pôde melhorar a fiscalização da atuação de parceiros comerciais (riscos de terceiros) contra violações de privacidade, tais como desrespeito a listas restritivas de contato e Não me Perturbe, o que culminou inclusive na aplicação de penalidades como descredenciamento de parceiros.”
Entendemos, portanto, que a Oi tem procedimentos de monitoramento e gestão de terceiros com quem compartilha dados pessoais.
Em relação ao parâmetro II, relacionado ao respeito à finalidade do tratamento dos dados pessoais, consideramos o seguinte:
Subparâmetro (a): integralmente atendido. Há descrição das finalidades de tratamento no item “4. Para quais finalidades meus dados são tratados?” do Aviso de Privacidade, que traz uma indicação genérica dos tipos de dados utilizados para cada finalidade. No entanto, a informação não permite ao usuário da Oi identificar se cada tipo de dado coletado é empregado para uma finalidade legítima, observados os princípios da necessidade e minimização. Uma descrição mais detalhada a respeito de quais tipos de dados são destinados a cada finalidade permitiria ao titular de dados compreender seus direitos com maior clareza.
Subparâmetro (b): integralmente atendido. O item “4. Para quais finalidades meus dados são tratados?” do Aviso de Privacidade também fornece noções gerais sobre a forma como a Oi utiliza e trata os dados conforme sua macrocategoria (ex.: “dados financeiros”) e finalidade.
Em relação ao parâmetro III, relacionado ao respeito à finalidade do tratamento dos dados pessoais, consideramos o seguinte:
Subparâmetro (a): parcialmente atendido. O item “7. Por quanto tempo os meus dados ficam armazenados?” indica alguns dos prazos legais utilizados pela Oi para a retenção com base no cumprimento de obrigação legal ou regulatória (previstas na Resolução 632/2014 do Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações, Resolução 632/2014 do Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações e Marco Civil da Internet). Não há maior detalhamento, no entanto, a respeito dos prazos regularmente observados pela Oi para retenção de dados fundamentada em outras bases legais (ex.: legítimo interesse, para exercício de direito, etc.). Não sabemos se, nesses casos, a Oi mantém os dados pessoais retidos indefinidamente. Quando à localidade dos dados, o item “8. Onde meus dados são salvos?” nos informa que, “via de regra”, os dados são armazenados na União Europeia e Estados Unidos.
Subparâmetro (b): não atendido. Os itens do Aviso de Privacidade referentes à retenção não especificam as hipóteses de exclusão de dados pela Oi. No entanto, há opção de opt-out disponibilizada ao longo de todo o documento por meio da página “Não Me Perturbe”.
Subparâmetro (c): parcialmenteatendido. O item “7. Por quanto tempo os meus dados ficam armazenados?” indica, não exaustivamente, algumas hipóteses de retenção dos dados.
Subparâmetro (d): parcialmente atendido. O item “9. Os meus dados estão protegidos?” do Aviso de Privacidade traz informações gerais sobre os procedimentos de segurança digital e conformidade legal da Oi.
Subparâmetro (e): integralmente atendido. A Oi disponibiliza sua Política de Segurança da Informação online com detalhamento dos procedimentos técnicos empregados para a garantia da segurança cibernética (ex.: protocolos de segurança e controle de acesso aos dados).
Subparâmetro (f): não atendido. A informação sobre controle de acessos não consta em nenhum documento público.
Subparâmetro (g): parcialmente atendido. O item “6.Os meus dados são compartilhados?” apresenta categorias gerais de terceiros com quem a Oi poderá compartilhar dados do titular.
Subparâmetro (h): integralmente atendido. O item “6.Os meus dados são compartilhados?” apresenta as finalidades de compartilhamento com terceiros, especificadas conforme as categorias gerais de terceiro.
Subparâmetro (i): parcialmente atendido. O item “8. Onde meus dados são salvos?” nos informa que há transferências internacionais para fins de retenção de dados pela Oi. Não há descritivo de todas as hipóteses de transferência internacional e suas finalidades em nenhum documento público. Também não encontramos informações sobre a localidade de armazenamento destes dados.
Em relação ao parâmetro IV, relacionado às informações sobre direitos de titular, consideramos o seguinte:
Subparâmetro (a): atendido integralmente. A Oi possui uma página de Direitos de Privacidade com todas as informações de contato necessárias para exercício dos direitos.
Os Contratos para adesão aos planos de Banda Larga da Oi também trazem redação com garantia de não-discriminação:
“Direitos do assinante: […] 8.1 Receber tratamento não discriminatório quanto às condições de acesso e fruição do SERVIÇO BANDA LARGA COM FIBRA DA OI;”
Subparâmetro (b): atendido integralmente.
Em relação ao parâmetro IV, relacionado às respostas da Oi a respeito dos direitos de titular,, consideramos o seguinte:
Subparâmetro (a): parcialmente atendido. A Oi possui uma página de Formulário de Direitos, onde Clientes e Ex-Clientes podem solicitar os direitos de (i) não recebimento de ofertas; (ii) direito de exclusão/anonimização; ou (iii) direito de acesso. No entanto, os não clientes podem apenas exercer o direito de não recebimento de ofertas – sem possibilidade de exercer seus outros direitos assegurados pela LGPD.
Embora o Aviso de Privacidade da Oi redirecione o usuário ao Formulário para exercício dos direitos de confirmação da existência de tratamento e acesso (art. 18, I da LGPD) e portabilidade dos dados (art. 18, V) não é possívelexercer estes direitos por meio da página indicada.
O pedido feito por meio do chatbot “Joice” (via Whatsapp) (no dia 13 de outubro de 2022) apenas resulta no redirecionamento ao Portal da Privacidade, sem possibilidade do efetivo exercício do direito de titular de confirmação de existência de tratamento ou acesso. Tentamos contato com o Encarregado de Dados da Oi por email (pp-privacidade@oi.net.br) mas, novamente, fomos redirecionados ao Portal de Privacidade – não havendo satisfação do pedido de informações.
Subparâmetro (b): atendido integralmente. A página de Direitos de Privacidade fornece claramente um descritivo dos direitos do titular de dados.
Em relação ao parâmetro VI, relacionado à atualização da política de privacidade, consideramos o seguinte: atendido integralmente. O Aviso de Privacidade da Oi estabelece que os clientes da Oi serão informados diante de qualquer alteração na página.
Além disso, os Contratos para adesão aos planos de Banda Larga da Oi trazem a seguinte redação:
“Direitos do assinante: […] 8.3 Ter conhecimento de qualquer alteração nas condições de prestação do SERVIÇO BANDA LARGA COM FIBRA DA OI que lhe atinja direta ou indiretamente, mediante acesso ao site www.oi.com.br.”
Em relação ao parâmetro VII, relacionado à acessibilidade, consideramos o seguinte: integralmente atendido. O Portal da Privacidade possui diversos documentos em linguagem clara e acessível para compreensão do titular a respeito do tratamento de seus dados e seus direitos. O Regulamento da Oferta que integra o Contrato de Adesão à Banda Larga da Oi possui cláusula de proteção de dados pessoais, definindo responsabilidades para a Oi na qualidade de controladora de dados e mencionando as Políticas de Privacidade e Proteção de Dados disponibilizadas no site da Oi.
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Oi obteve estrela cheia, pois atendeu a quatro dos possíveis cinco parâmetros estabelecidos pela Categoria 2.
Em relação ao parâmetro I, consideramos o seguinte: parcialmente atendido. O Protocolo de Entrega de Dados a Autoridades Públicas da Oi especifica o procedimento de recebimento de pedidos de acesso a dados, análise de competência do requisitante e atendimento da solicitação ou contestação do pedido. Nele, podemos ver que a empresa fornece dados cadastrais sem necessidade de ordem judicial a Delegacias de Polícia, Ministério Público, Advocacia Geral da União e Autarquias (as chamadas “Autoridades Públicas”) “conforme autorizado em lei”. Porém, não há descritivo das hipóteses legais específicas que permitem o compartilhamento de dados cadastrais com cada uma das autoridades mencionadas (ou seja, não há meios de avaliar a legalidade das hipóteses em que a Oi compartilha dados sem ordem judicial).
Em relação ao parâmetro II, consideramos o seguinte: não atendido. A empresa descreve a possibilidade de fornecimento de dados cadastrais sem ordem judicial às Autoridades Públicas, não exclusivamente no atendimento de demandas relacionadas aos crimes descritos nos dispositivos da Lei 12.850/13, da Lei 9.613/98 e o artigo 13-B do CPP.
Em relação ao parâmetro III, consideramos o seguinte:
Subparâmetro (a): parcialmente atendido. Não há informação sobre a divulgação de dados de geolocalização em tempo real às Autoridades.
Subparâmetro (b): integralmente atendido. O Protocolo de Entrega de Dados a Autoridades Públicas da Oi especifica que os dados de geolocalização (“Coordenadas por Estação Rádio base”) apenas são enviados às Autoridades Públicas no atendimento de demandas relacionadas aos crimes descritos no artigo 13-B do CPP.
Subparâmetro (c): integralmente atendido. Embora não faça referência explícita à decorrência mínima de 12 horas da ausência de manifestação judicial para divulgação dos dados de geolocalização às Autoridades Públicas, o Protocolo cita o artigo 13-B do CPP, que estabelece o prazo em seu parágrafo 4º.
Em relação ao parâmetro IV, consideramos o seguinte: integralmente atendido. Segundo o Protocolo de Entrega de Dados a Autoridades Públicas da Oi, os registros de conexão são fornecidos apenas diante ordem judicial, segundo o Marco Civil da Internet.
Em relação ao parâmetro V, consideramos o seguinte: integralmente atendido. O Protocolo de Entrega de Dados a Autoridades Públicas da Oi especifica, de maneira clara e acessível, o procedimento de recebimento de pedidos de acesso a dados, análise de competência do requisitante e atendimento da solicitação ou contestação do pedido.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Oi obteve estrela cheia, pois atendeu aos dois parâmetros analisados.
Quanto ao parâmetro I, referente à contestação de legislação, realizamos buscas exploratórias nos sites do Supremo Tribunal Federal e do Superior Tribunal de Justiça por processos em que a empresa fosse parte.
Em 29/03/2022, o STF publicou o julgamento da Ação Direta de Inconstitucionalidade número 4924/DF, onde a Associação Nacional das Operadoras Celulares – ACEL, da qual a Oi faz parte, pediu pela declaração de inconstitucionalidade da Lei 17.107/12, do Estado do Paraná, que dispõe sobre penalidades ao responsável pelo acionamento indevido dos serviços telefônicos de atendimento a emergências envolvendo remoções ou resgates, combate a incêndios, ocorrências policiais ou atendimento de desastres (trote telefônico). A lei visava estabelecer obrigação às operadoras de telefonia de fornecer os dados dos proprietários de linhas telefônicas que acionem indevidamente os serviços de atendimento diante de mero ofício por qualquer órgão ou instutuição pública envolvida. A ACEL argumentou em falor da inviolabilidade da intimidade, vida privada horna e do sigilo das comunicações telefônicas (segundo estabelecido no artigo 5º, incisos X e XII da Constituição Federal), mencionando a indisponibilidade do direito à proteção de dados pessoais em sua argumentação.
Além disso, a ACEL havia ajuizado a ADI 5040/PI, publicada em 2021 (não incluída em nosso relatório anterior), onde questionava a legalidade da Lei Nº 6.336/2013 do Estado do Piauí, que obrigava as empresas prestadoras de serviço de telefonia móvel pessoal a fornecerem, aos órgãos de segurança pública, dados relativos à localização de telefones celulares e cartões “SIM” que tivessem sido objeto de furto, roubo e latrocínio ou utilizados na prática de delitos. Entre seus argumentos, a ACEL também alegou grave ofensa à privacidade de seus clientes na hipótese de divulgação das informações pessoais, citando a Constituição e o direito fundamental à privacidade, além da inviolabilidade dosigilo telefônico.
Por fim, para averiguação do parâmetro II, referente à contestação de pedidos abusivos, realizamos buscas exploratórias na base de dados do Tribunal de Justiça do Estado de São Paulo e no portal “Jusbrasil”, em ambos os casos pelos termos “Oi E sigilo E quebra” e por acórdãos publicados entre 21/06/2021 e 19/10/2022. Encontramos diversas ações onde a Oi contestou pedidos de dados de seus clientes pela falta de ordem judicial determinando a entrega dos dados.
Por exemplo, encontramos, no relatório do acórdão referente ao Processo 1058034-44.2020.8.26.0100:
“A corré OI Movel S.A habilitou-se nos autos e trouxe juntou documentos (fls. 370/417). Apresentou contestação (fls. 430/440) alegando que não se nega a prestar informações, observada a determinação judicial necessária para a quebra do sigilo de dados,garantido constitucionalmente, pelo que pugna pelo afastamento da condenação sucumbencial. “
Ações consideradas nas versões anteriores do Quem Defende Seus Dados, a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, não foram consideradas, já que não registraram movimentações relevantes em vista da suspensão do julgamento e pedido de vista pelo Ministro Nunes Marques (em 17/06/2021).
Além disso, a Oi nos forneceu mais ações judiciais onde contesta os pedidos de acesso a dados por autoridades legais na fase de discussão dos relatórios preliminares deste projeto.
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a Oi obteve estrela cheia, pois atendeu aos dois parâmetros em análise.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado atendido.
Identificamos algumas ações públicas da Oi voltadas à promoção da proteção de dados pessoais no Brasil. Por exemplo, a Oi lançou a Oi Soluções, que presta serviços de consultoria de adequação LGPD às empresas.
A Oi lançou, em 2021, seu Programa Privacidade e o Programa de Conformidade, que, segundo o Relatório de Sustentabilidade, resultou em pelo menos quatro eventos para liderança e 15 peças de comunicação para a empresa, “impactando mais de 10 mil colaboradores, a fim de disseminar ainda mais o tema de privacidade”.
Além disso, a Oi participou, por meio da Conexis, do lançamento do Código de Boas Práticas de Proteção de Dados para o Setor de Telecomunicações, apresentado à Autoridade Nacional de Proteção de Dados.
Como parte do Programa de Educação e Comunicação “Pessoas vêm antes de dados”, o time de Privacidade da Oi, em parceria com o Oi Futuro, também realizou 3 oficinas de Privacidade para jovens da Rede Pública Estadual de Pernambuco, cerca de 200 estudantes das Escolas Técnicas Estaduais Cícero Dias, Nave Recife e Porto Digital.
Além disso, a Encarregada de Dados e o time de privacidade da Oi realizaram um evento com alunos da escola NAVE para a discussão de tópicos de proteção de dados pessoais.
Consideramos o parâmetro II atendido.
Segundo diversas reportagens, a Oi tem tido participação ativa na promoção da tecnologia de reconhecimento facial nos últimos anos. Em 2018, por exemplo, a Oi constituiu uma parceria com a Huawei voltada à comercialização de câmeras de reconhecimento facial. Em 2019, a Oi anunciou sua tecnologia de videomonitoramento inteligente aplicado à prevenção de fraudes bancárias e “situações de risco”. Segundo a matéria, a ferramenta contra fraude bancária “usa um banco de imagens com dezenas de milhões de usuários únicos para garantir que a mesma pessoa não tem mais de uma conta ou CPF. O recurso pode ser usado pelos bancos no momento de abertura de contas, para completar transações e autorizar pagamentos”. No mesmo ano, a Oi em parceria com a Secretaria de Segurança Pública do Estado do Rio de Janeiro, anunciou a expansão do videomonitoramento urbano com reconhecimento facial, testada durante o Carnaval, para o Estádio Jornalista Mário Filho, o Maracanã.
Mais recentemente, em 2022, a Oi Soluções entregou à Secretaria de Segurança Pública da Bahia (SSP-BA) um projeto de videomonitoramento inteligente (novamente com a possibilidade de reconhecimento facial), voltado à transmissão de imagens em tempo real entre os centros integrados, policiais e viaturas. Na fase de discussão do relatório, a Oi nos informou que o papel da empresa nessas situações limita-se ao oferecimento de conectividade à internet – não sendo a empresa em si operadora da tecnologia de videomonitoramento.
Ainda, a Oi nos informou que não realiza reconhecimento facial para fins de cadastro ou acesso aos serviços de telefonia móvel – o que consideramos como um diferencial.
A Oi também enviou alguns exemplos de manifestações públicas relacionadas à importância de elaboração de Relatórios de Impacto pelas entidades públicas contratantes de serviços de reconhecimento facial – que, contudo, não foram identificadas em processos publicamente acessíveis pela internet.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a Oi obteve três quartos de estrela, pois atendeu a quatro dos cinco parâmetros analisados.
Em relação aos parâmetros I, II e III, consideramos o seguinte: integralmente atendidos. A Oi possui um Canal de Transparência em Privacidade facilmente acessível e em linguagem clara, onde detalha a jornada de adequação à LGPD e os passos dados para a garantia de direitos dos titulares de dados. O Relatório de Sustentabilidade traz a informação de que:
“No que diz respeito aos direitos dos titulares, em 2021, a Oi recebeu e respondeu mais de 500 pedidos, destacando-se: solicitação de não recebimento de ofertas (37%), pedido de exclusão de dados (33%), confirmação de tratamento (14%), bem como acesso e portabilidade (8%).”
O Relatório também traz informações sobre o número de pedidos relacionados a violações de direitos:
“Para além do Programa Oi de Privacidade, no que concerne o recebimento de ofícios, procedimentos administrativos e judiciais, em 2021, constatou-se uma queda significativa (26%) do número de reclamações pelos canais da Anatel sobre utilização indevida de dados cadastrais, em comparação com o ano de 2020, reduzindo de 2.438 para 1.804 conforme detalhado no quadro a seguir.”
“Em relação a ofícios, a Oi recebeu ao todo 8 procedimentos em 2021 de autoridades públicas, dos quais dois encontram-se arquivados, sendo os principais questionamentos: •Suposto compartilhamento de dados para outras empresas; •suposto vazamento de dados de clientes; •esclarecimentos sobre medidas/ recomendação para contenção de vazamento de dados e cumprimento da LGPD; e •esclarecimentos sobre solicitação de dados pessoais para verificação de viabilidade de serviço.”
Em relação ao parâmetro IV consideramos que foi parcialmente atendido. A Oi cumpriu os sub-parâmetros (a) e (b) e não cumpriu o sub-parâmetro (c).
Sub-parâmetro (a): atendido. A Oi publicou, no Relatório de Sustentabilidade 2021, que recebeu 216.785 requisições de autoridades públicas para acesso a dados, tendo recusado 1% dos pedidos, ou seja, por volta de 21 mil pedidos:
“Com o intuito de respeitar a privacidade de nossos clientes e preservar os sigilos das comunicações, a companhia possui protocolos para análise de pedidos de acesso a dados, que inclui avaliação da autoridade solicitante, tipo de solicitação, competência do juízo em casos de ordem judicial, data da emissão e adequação a requisitos legais, sendo contestadas cerca de 1% das requisições. Especificamente em relação aos pedidos de interceptação, em 2021, foram apresentados 18 Habeas Corpus em 2021 em razão da manutenção de pedidos considerados ilegais, dentre os quais 06 ordens foram concedidas, 10 negadas e 02 encontram-se pendentes de julgamento.”
Sub-parâmetro (b): atendido. A Oi publica a discriminação de pedidos de dados para as categorias de “interceptação telefônica”, “dados cadastrais”, “extratos de chamadas e conexões (incluindo dados de geolocalização” e “quebra de sigilo de IP”.
Subparâmetro (c): não atendido. Não há informações sobre o número de contas afetadas pelos pedidos de acesso por ordem judicial.
Em relação ao parâmetro V consideramos o seguinte: não atendido. Não obtivemos acesso aos Relatórios de Impacto produzidos pela Oi. O Relatório de Sustentabilidade, no entanto, traz a informação de que a Oi já formalizou um modelo de RIPD com o qual trabalha para avaliações internas de risco de proteção de dados.
“Cabe destacar que em 2021 foi formalizado nosso primeiro Relatório de Impacto à Proteção de Dados Pessoais, através do qual foram identificados riscos em relação aos direitos dos titulares atrelados aos princípios da LGPD (finalidade, adequação e retenção) e o direito fundamental à privacidade. Após serem avaliados os riscos, foram propostas e implementadas diversas medidas mitigatórias visando a conformidade e maior controle dos titulares sobre seus dados. Ao considerar aspectos de privacidade desde a concepção de novos produto, mais do que o atendimento à legislação, a Oi busca contribuir com o despertar da sociedade para o cuidado com dados pessoais, bem como para o empoderamento das pessoas.”
CATEGORIA 6: Notificação do usuário
Resultado:
A Oi não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
TIM BANDA LARGA
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Nesta categoria, a TIM Banda Larga obteve estrela cheia, tendo atendido integralmente aos parâmetros I, IV e V; e parcialmente ao parâmetro II.
A Tim Banda Larga atende ao parâmetro I, referente às informações sobre coleta e finalidade, fornecendo informações claras e completas sobre todos os sub-parâmetros.
O sub-parâmetro (a), referente a quais dados são coletados, foi considerado atendido. Em sua Política de Privacidade, na seção “Que tipo de Dados e com qual finalidade a TIM trata”, a empresa apresenta uma tabela em que especifica a origem, o tipo de dado coletado, a finalidade e a base legal de tratamento de diversos dados pessoais processados por ela.
Dentre outros, a empresa informa, na tabela, que coleta:
Dados de Navegação (IP, data e hora) e Dados do Dispositivo de Acesso (e.g. IMEI, modelo do dispositivo, etc); Dados de Cadastro: email, nome, telefone e modelo do dispositivo móvel; Dados de Navegação e Dados do Dispositivo de Acesso; Informações sobre o uso dos Serviços: volume de tráfego na internet; Dados locacionais (país, cidade e estado) de onde ocorreu o acesso ou onde a ligação está ocorrendo; registros de telefonia e de envio de SMS e MMS; desempenho da rede e da infraestrutura de telecomunicações . Dados sobre pagamento: números e dados de cartão de crédito, transações de recargas, informações bancárias necessárias para prestação de serviços; informações de crédito para os sistemas de tarifação e emissão de faturas. Dados do Dispositivo de Acesso (excluindo páginas visitadas).
O sub-parâmetro (b), referente às situações em que a coleta ocorre, foi igualmente considerado atendido. No mesmo item referenciado acima, a empresa especifica a origem dos dados coletados. Aponta, por exemplo, quais dados são coletados na “Navegação no Site e no aplicativo Meu TIM”, nos “Formulários do Site e dos aplicativos Meu TIM”, no “Uso dos Serviços e do Aplicativo Meu TIM”, no “Uso dos Serviços”, nos “Formulários de Cadastro nos Pontos de Venda”, dentre outros.
O sub-parâmetro (c), referente à finalidade da coleta de dados, foi igualmente considerado atendido. No mesmo item referenciado acima, a empresa especifica a finalidade da coleta dos diversos dados que aponta. Especifica, por exemplo, as finalidades de “Funcionamento do Site: ativar funcionalidades essenciais, como software antivírus, adaptar o conteúdo ao formato da tela, entre outras funções”, “analytics: compreender o seu comportamento de navegação e como o Site e App está sendo usado, para melhorar sua experiência como usuário e atender as necessidades dos nossos clientes.”, “Marketing: direcionamento de conteúdos e publicidade, nossa e de nossos parceiros, conforme o seu perfil e preferências”, dentre outros.
Além disso, no Contrato de Prestação de Serviços TIM LIVE, a empresa, na cláusula 19, estabelece:
“19.1 As Partes reconhecem que, em razão do presente Contrato, a TIM realizará o tratamento de dados pessoais do CLIENTE na extensão necessária para garantir a adequada prestação dos SERVIÇOS e, em geral, na forma prevista ou de qualquer forma autorizada na legislação aplicável.
O sub-parâmetro (d), referente à forma como se dá a utilização, foi igualmente considerado atendido. Ao especificar as finalidades para as quais trata dados pessoais, conforme item acima, a empresa mostra também exemplos de sua utilização. Por exemplo, ao apontar a finalidade de “marketing”, especifica que os dados serão utilizados para direcionar “conteúdos e publicidade”. Por mostrar situações de uso paralelamente às finalidades, o sub-parâmetro foi considerado atendido.
Por fim, o sub-parâmetro (e), referente aos direitos dos titulares e meios para seu exercício, foi igualmente considerado atendido. Em sua Política de Privacidade, no item “Quais são os direitos dos Titulares de Dados”, a empresa apresenta tabela com os direitos e uma explicação de cada um deles, apontando, por exemplo, o “Direito de confirmar a existência de tratamento dos seus dados e de acessá-los”, o “direito de retificação”, “direito de exclusão”, “direito de oposição”, “direito de solicitar anonimização, bloqueio ou eliminação”, “direito à portabilidade”, dentre outros. Além disso, oferece os e-mails da área de Data Protection Officer (DPO) da TIM para exercício dos referidos direitos.
Além disso, no Contrato de Prestação de Serviços TIM LIVE, a empresa, na cláusula 4, estabelece:
4.2. Constituem direitos do CLIENTE:
(e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação;
(j) o respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora;
Quanto ao parâmetro II, referente ao fornecimento de informações claras e completas sobre a proteção de dados pessoais, foi considerado cumprido, pois atende a todos os sub-parâmetros.
O sub-parâmetro (a), referente ao tempo e onde os dados são armazenados, foi considerado cumprido. No documento “Onde e por Quanto tempo a TIM armazena os seus dados”, a empresa detalha algumas prazos legais para manutenção de dados pessoais, bem como os critérios adotados para determinar o período de retenção adequado.
Prazo de Armazenamento
A TIM armazenará e tratará seus Dados Pessoais somente pelo tempo necessário para cumprir as finalidades da coleta, inclusive para fins de cumprimento de quaisquer obrigações legais, regulatórias, contratuais, de prestação de contas, requisição de autoridades competentes ou outras previstas na legislação vigente, como garantir os direitos dos titulares e seus próprios direitos.
Em geral, a título exemplificativo:
• Dados Pessoais cadastrais podem ser mantidos pelo prazo de 5 anos, tendo como referência o Código de Defesa do Consumidor, a contar do término da relação do titular com a TIM;
• Além disso, por obrigação constante no Marco Civil da Internet, os Dados relacionados a IP, data e hora das suas conexões à internet, quando a TIM for responsável por prover este acesso, serão mantidos por no mínimo 12 meses e, quanto aos aplicativos da TIM, por no mínimo 6 meses;
• por atuar como prestadora de comunicações, de acordo com o estabelecido pela ANATEL, por meio da Resulução nº 738 de 2020, a TIM tem que manter registro dos dados de natureza fiscal, dados cadastrais dos assinantes e dados de bilhetagem e das ligações efetuadas e recebidas, bem como data, horário, duração e valor da chamada, pelo período de 5 anos.
Após o término dos prazos, os Dados Pessoais serão devidamente eliminados ou anonimizados pela TIM.
Para determinar o período de retenção adequado para os Dados Pessoais, além do prazo de prescrição previsto em lei, consideramos outros critérios, como a quantidade, a natureza e a sensibilidade destes Dados, o risco potencial de danos decorrentes do uso não autorizado ou da divulgação de seus Dados Pessoais, a finalidade de tratamento destes dados, e se podemos alcançar os propósitos almejados por outros meios, e os requisitos legais aplicáveis, dentre outros.
Não obstante o disposto acima, a política geral da TIM é que nenhum dado pessoal de clientes da TIM deve ficar armazenado por mais de 5 (cinco) anos a contar do término da relação comercial entre um cliente e a TIM. A exceção a essa regra são situações de cumprimento de uma ordem judicial ou administrativa competente (veja a nossa informativa sobre “Compartilhamento de Dados Pessoais em Caso de Investigação”). Lembrando que este é o período máximo, uma vez cumprida sua finalidade e desde que não haja qualquer obrigação legal ou legítimo interesse para sua manutenção por prazo superior.
Quanto ao local de armazenamento, a empresa informa em sua Política de Privacidade, no item “A TIM pode transferir seus Dados para outros países”:
A TIM poderá transferir dados para outros países para fins de armazenamento, por exemplo, em servidores localizados no exterior, com grau de proteção de dados adequado ao previsto nas legislações vigentes. Informamos que seus Dados poderão estar sujeitos à legislação local e às regras pertinentes destes países. Ao interagir conosco, Você concorda com essa transferência internacional de Dados, nos casos em que seja essencial para prestação dos serviços e execução do seu contrato conosco, de acordo com a legislação de proteção de dados.
No documento “Onde e por Quanto tempo a TIM armazena os seus dados”, a empresa informa, com detalhes, os locais de armazenamento de dados pessoais.
Local de Armazenamento
Por fim, os dados armazenados pela TIM ou por fornecedores contratados seguem níveis rígidos e adequados de segurança da informação e consistentes com as práticas do mercado, sempre buscando atender a Lei Geral de Proteção de Dados Pessoais e demais legislações aplicáveis e vigentes. No geral, os dados pessoais são armazenados:
(i) em servidores de propriedade da TIM, localizados nos estados de São Paulo e Rio de Janeiro;
(ii) em servidores de terceiros, contratados pela TIM especificamente para serviços de armazenamento de dados (hosting), seguindo controles contratuais para garantir o cumprimento, a Lei Geral de Proteção de Dados; ou
(iii) em servidores de terceiros, contratados pela TIM para realizar algum serviço específico temporário e que inclui algum tipo de tratamento de dados (por exemplo, uma verificação de fraude). Nesses casos, além dos controles contratuais, limitamos o tratamento ao mínimo necessário e pelo menor tempo possível (por exemplo, em algumas situações o dado é excluído após poucas horas)
Tais informações foram consideradas suficientes para esclarecer ao usuários sobre as práticas adotadas pela empresa para a retenção de dados pessoais.
Quanto ao sub-parâmetro (b), referente a quando/se os dados são apagados, foi considerado cumprido. No documento “Onde e por Quanto tempo a TIM armazena os seus dados”, na seção Prazo de Armazenamento (vide trecho acima), a empresa informa expressamente que, findo os prazos que autorizam a retenção, a TIM deleta ou anonimiza os dados pessoais.
O sub-parâmetro (c), referente às práticas de segurança que a empresa observa, foi considerado atendido. Em seu Relatório de Sustentabilidade 2020, p. 36, a empresa esclarece:
A TIM também tem aprimorado a governança nesse processo, com novos procedimentos, controles e investimentos na prevenção, tratamento de incidentes e equipes de monitoramento. A Companhia conduz suas atividades com base na ISO 27001 – norma internacional que descreve as melhores práticas para a gestão de segurança da informação – e NIST (Cyber Security Framework) que apoia a gestão e redução do risco de segurança cibernética. Em 2020, foi realizada uma avaliação dos requisitos de certificação, identificando um nível de conformidade superior a 90% dos requisitos, e os ajustes necessários para obter a certificação serão feitos até 2022.
Por esclarecer a norma de segurança utilizada para proteger seus sistemas, e ao prestar algumas informações em relação aos colaboradores e fornecedores que têm acesso aos dados, considerou-se que as informações dadas eram suficientes.
O sub-parâmetro (d), referente a quem tem acesso aos dados, também foi considerado atendido, já que a empresa afirma que somente pessoas autorizadas, e fornecedores sob cláusulas de confidencialidade, podem ter acesso aos dados. Mesmo que informações mais detalhadas sobre quais funcionários podem acessar os dados poderiam ter sido fornecidas, a menção específica às informações de cadastro e aos dados de comunicação, e a menção aos fornecedores, indicam para a existência de padrões mais claros em relação a tais acessos, razão pela qual o sub-parâmetro foi considerado cumprido.
O sub-parâmetro (e), referente aos terceiros com quem os dados são compartilhados, foi considerado atendido. Em sua Política de Privacidade, no item “Com quem a TIM compartilha os seus Dados”, a empresa especifica com que terceiros fará o compartilhamento, apontando, por exemplo, empresas de “serviços de tecnologia”, “análise de desempenho”, “pesquisas de mercado”, dentre outros.
Em seu Portal de Transparência, a empresa disponibiliza um documento intitulado “Como a TIM usa dados pessoais para direcionar materiais publicitários de terceiros?” a empresa informa que compartilha apenas informações anonimizadas com parceiros comerciais:
Em alguns casos, a TIM pode utilizar certas informações relacionadas às suas preferências e hábitos com a TIM, para entender que tipo de produto ou serviço de nossos parceiros comerciais podem ser de maior interesse a você. Quando fazemos isso, nós buscamos entender os seus gostos e o seu perfil e, com isso, selecionamos produtos e serviços de alguns de nossos parceiros que imaginamos que possam ser do seu interesse, para direcionar certos materiais publicitários. Ao fazermos isso, nós não precisamos revelar a sua identidade aos nossos parceiros, ou seja, não compartilhamos seus dados com eles nessas situações.
Ainda, no documento “Como a TIM compartilha dados pessoais com terceiros?”, a TIM informa, genericamente, o procedimentos adotados no compartilhamento de dados:
A TIM, assim como qualquer grande organização, opera em parceria com uma série de outras empresas que dão suporte no oferecimento de produtos e serviços TIM. Em alguns casos, para que essas empresas possam nos atender e dar o suporte de que precisamos, pode ser necessário compartilhar certos dados pessoais dos nossos clientes com essas empresas. Nossos parceiros e fornecedores somente são autorizados a utilizar os dados pessoais recebidos para os fins específicos para o qual foram contratados, portanto, eles não irão utilizar os seus dados pessoais para outras finalidades, além da prestação de serviços prevista contratualmente. A TIM executa procedimentos preparatórios à contratação de novos parceiros e fornecedores para garantir que, na hipótese em que seja necessário compartilhar dados pessoais com tais empresas, obrigações contratuais de segurança da informação e de proteção de dados pessoais sejam estabelecidas para proteger os dados de nossos clientes.
Tais informações foram consideradas suficientes para informar sobre o compartilhamento.
Quanto ao sub-parâmetro (f), relativo às finalidades do compartilhamento de dados com terceiros, considerou-se igualmente que foi atendido. Isso porque, no mesmo trecho da Política de Privacidade, no item “Com quem a TIM compartilha os seus Dados”, a empresa especifica as finalidades dos compartilhamentos, apontando, dentre outros:
“Serviços de Tecnologia: Temos uma série de fornecedores que precisamos contratar para operar os Produtos e oferecer os Serviços, e alguns deles podem tratar em nosso nome os Dados Pessoais que coletamos. Por exemplo, usamos serviços de hospedagem de dados para armazenar a nossa base de dados, usamos também serviços de meios de pagamento para poder processar os dados de faturamento dos nossos Serviços.
(…)
Análise de desempenho: Os dados armazenados pela TIM podem vir a ser coletados por tecnologia de terceiros e utilizados para fins de estatísticas (analytics), com a finalidade de a TIM compreender quem são as pessoas que utilizam seus Serviços, visitam seu Site e o Aplicativo Meu TIM ou de qualquer forma interagem com a TIM.
(…)
Pesquisas de mercado: Caso você responda a uma pesquisa de mercado enviada pela TIM, é possível que os resultados sejam compartilhados com nosso parceiro responsável por tal pesquisa.”
Quanto ao sub-parâmetro (g), referente às hipóteses de transferência internacional de dados, foi considerado atendido. Em sua Política de Privacidade, a empresa informa que a TIM poderá transferir dados para outros países.
A TIM poderá transferir dados para outros países para fins de armazenamento, por exemplo, em servidores localizados no exterior, com grau de proteção de dados adequado ao previsto nas legislações vigentes. Informamos que seus Dados poderão estar sujeitos à legislação local e às regras pertinentes destes países. Ao interagir conosco, Você concorda com essa transferência internacional de Dados, nos casos em que seja essencial para prestação dos serviços e execução do seu contrato conosco, de acordo com a legislação de proteção de dados.
No documento “Onde e por Quanto tempo a TIM armazena os seus dados”, a empresa informa de forma detalhada sobre as práticas de transferência internacional e informa os principais países em os dados são armazenados:
Transferências Internacionais
Ao utilizar os serviços de internet da TIM, é possível que o usuário acesse aplicações de terceiros, cujos servidores estão localizados em outros países, e podem capturar as informações de IP e hora de acesso. Isso faz parte da natureza dos serviços de conexão à internet, e é importante que o usuário sempre adote as melhores práticas de segurança quando navega na internet. Além disso, a TIM pode ativamente realizar a transferência internacional de dados pessoais que estão sob seu controle sempre que contratarmos servidores de terceiros, conforme os itens (i) e (ii) acima. Por se tratarem de serviços “cloud”, esses fornecedores podem a todo momento alterar a localização da hospedagem, mas buscamos limitar contratualmente que essas transferências sejam feitas com segurança e para países quem possuem leis que garantem adequadamente a proteção e segurança dos dados pessoais. Não obstante, os principais servidores de terceiros que armazenam dados pessoais sob controle da TIM estão localizados nos seguintes países, além do Brasil:
Ainda, quando armazenado em outra localidade, esta é previamente validada e aprovada pelas funções responsáveis.
Tais informações foram consideradas suficientes para fins desta avaliação.
Por fim, quanto ao sub-parâmetro (h), sobre a data da última atualização da política de privacidade, foi considerada atendida. Tanto a Política de Privacidade quanto os contratos contam com a data da última atualização (com exceção do Contrato de prestação de serviço SMP Corporativo, que não tem data de registro).
O parâmetro III, que avalia se a empresa respondeu tempestivamente à solicitação de pedidos de acesso aos dados por integrantes do InternetLab, foi considerado atendido. O InternetLab realizou um pedido de acesso a dados em 21 de julho de 2021. Em resposta, a TIM informou:
TIM, em conformidade com as disposições legais aplicáveis, deve identificar o solicitante e verificar a existência dos requisitos de legitimidade para atender às solicitações.
Sendo assim, pedimos a gentileza de nos enviar sua solicitação novamente, desta vez acompanhada de documentação necessária (ex.: cópia de um documento de identidade válido), para que possamos fornecer um feedback.
Essa solicitação também visa proteger os titulares da comunicação indevida de seus dados pessoais a terceiros não autorizados.
Atenciosamente,
Data Protection Officer
Após o envio da documentação solicitada pela empresa, a TIM informou, por email, os dados pessoais que possuía sobre o titular, bem como um arquivo Word com as telas comprobatórias dos sistemas em que constam tais dados. Consideramos positiva a exigência de comprovação da titularidade para concessão do acesso aos dados. Por isso, o parâmetro foi considerado atendido.
O parâmetro IV, que avalia se a empresa promete enviar notificações ao usuário quando da atualização de suas políticas de privacidade, foi considerado atendido. Em sua Política de Privacidade, a empresa afirma:
10. Como e quando esta Política pode ser alterada
Como estamos sempre buscando melhorar nossos Serviços e oferecendo novas funcionalidades, essa Política de Privacidade pode passar por atualizações. Fique tranquilo, caso sejam feitas alterações relevantes, nós informaremos a você, sem prejuízo de Você verificar a versão mais atual em nosso Site.
Por fim, o parâmetro V, referente à acessibilidade das informações sobre privacidade e proteção de dados, foi considerado atendido. A empresa tem um Portal de Privacidade com as principais informações de privacidade e proteção de dados. Ainda, a empresa disponibilizou Informativos de Privacidade, em que traz informações detalhadas sobre práticas de privacidade e proteção de dados da empresa.
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Tim Banda Larga obteve estrela cheia, pois cumpriu todos os parâmetros.
Quanto ao parâmetro I, referente à identificação das autoridades competentes para requisitar dados, foi considerado cumprido. No documento “Como a Tim compartilha dados pessoais com terceiros?”,
Além disso, a TIM está sujeita a diversas obrigações legais e regulatórias que fazem com que certos compartilhamentos de dados com terceiros, inclusive autoridades, seja necessário. Em muito casos, a TIM também é obrigada a atender a ordens expedidas por autoridades para fornecer certos dados, especialmente em investigações. Sempre protegeremos os seus direitos e apenas forneceremos os dados que sejam legalmente requisitados com fundamentos jurídicos válidos.
No documento “Como é realizado o compartilhamento de dados pessoais em caso de investigação?”, disponibilizado no Portal de Privacidade da empresa, oferece um rol exemplificativo de autoridades administrativas que podem requisitar dados, além das hipóteses fundamentadas em ordens judiciais:
Uma das possibilidades desse compartilhamento é para cumprimento de ordem judicial, cumprimento de pedido extrajudicial (encaminhado pela polícia judiciária ou Ministério Público) e requisição de autoridade administrativa competente (por exemplo, uma delegacia ou uma agência governamental), direcionada à TIM, solicitando o fornecimento de dados pessoais de cliente TIM, em cumprimento à legislação específica e vigente.
(…)
Alguns exemplos de autoridades administrativas dotadas de competência para requisições incluem Promotores dos Ministérios Público Militar, Estadual e Federal; Delegacias de Polícias Civil, Federal e Legislativa, presidência de CPI (Comissão Parlamentar de Inquérito), além das hipóteses fundamentadas em ordem judiciais.
As informações que constam no referido foram consideradas suficientes para informar aos usuários sobre as hipóteses de compartilhamento de dados com o Estado; por isso, o parâmetro foi considerado atendido.
O parâmetro II, referente à identificação das autoridades competentes e dos crimes no âmbito dos quais a requisição ocorrer, foi considerado atendido. No documento “Como é realizado o compartilhamento de dados pessoais em caso de investigação?” informa os critérios analisados para a atender à solicitação de acesso a dados; os casos mais comuns de solicitação de dados; e apresenta um rol exemplificativo de hipóteses legais no âmbito dos quais a requisição pode ocorrer:
é feita uma análise da proporcionalidade daquela solicitação, ou seja, se a decisão se encontra dentro dos critérios de proporcionalidade e razoabilidade exigidos pela legislação brasileira, em especial o Código de Processo Civil (art. 8º) e a Constituição Federal.
(…)
Não é possivel a apresentação de todas as hipóteses que podem fundamentar ordem judicial, pedido extrajudicial ou solicitação, bem como as autoridades competentes, que podem requerer tais dados pessoais, visto que tais ordens devem fundamentar-se em leis que estabeleçam essa possibilidade.
Alguns exemplos mais comuns que observamos aqui na empresa incluem:
I. Solicitação de dados sobre número de telefone para investigações criminais e ações cíveis;
II. Solicitação de dados cadastrais, mediante ordem judicial ou de autoridade administrativa, ou autoridades policiais e Ministério Público;
III. Solicitação de registros de conexão, mediante ordem judicial;
IV. Localização de Estação Rádio Base (antena telefônica, mediante ordem judicial;
V. Conteúdo de comunicações privadas, mediante ordem judicial.
Destacamos, no entanto, que o compartilhamento de dados e as finalidades exemplificadas não são um rol taxativo, sendo analisado cada pedido concreto, seguindo os procedimentos mencionados nessa Informativa.
Também à título de exemplo, apresentamos alguns desses fundamentos legais mais comuns:
• Constituição Federal Brasileira, sobretudo seu artigo 5º, X a XII.
• Lei nº 9296/1996 – Lei que regula a interceptação legal
• Lei nº 9472/1997 – Lei Geral de Telecomunicações
• Resolução nº 477/2007 – Regulamentação do Serviço Móvel Pessoal – SMP
• Lei nº 12.830/2013 – Sobre a investigação criminal por delegado de polícia
• Lei nº 12.850/2013 – Lei de Organizações Criminosas
• Lei nº 12.965/2014 – Marco Civil da Internet
• Decreto nº 8.771/2016 – Regulamentador do Marco Civil da Internet
• Lei nº 12.683/2012 – Lei Lavagem de Dinheiro
• Lei nº 13.344/2016 – Tráfico de Pessoas
• Lei nº 15.292/2014 – Lei de Busca de Pessoas Desaparecidas
Tais informações foram consideradas suficientes para esclarecer aos titulares
Ainda, no Contrato de Prestação de Serviços Live, a empresa informa que nos casos de crimes contra crianças e adolescentes, previstos no ECA, a TIM poderá oferecer todos os dados cadastrais do cliente às autoridades judiciais, nos termos do Marco Civil da Internet. A empresa identifica, portanto, tanto o crime, quanto a autoridade competente. Tal informação foi considerada suficiente para fins de avaliação.
Contrato de Prestação de Serviços Live
14.1 (g) unilateralmente pela TIM, caso seja constatada a utilização do serviço para prática de atos criminosos, notadamente crimes contra crianças e adolescentes previstos no Estatuto da Criança e do adolescente e demais legislações aplicável a espécie, resguardando o direito de a TIM buscar a eventual reparação por perdas e danos em face do CLIENTE caso tenha sido acionada por terceiros prejudicado, no âmbito de demandas cíveis ou criminais que suscitem a responsabilidade pela pratica de tais atos ofensivos, através do TIM LIVE, sendo, inclusive, facultado à TIM fornecer todos os dados cadastrais do CLIENTE as autoridades judiciais na forma da lei 12.965/2014 para apuração do ilícito e devida responsabilização do autor das ofensas.
O parâmetro III, referente ao oferecimento de informações sobre dados de geolocalização, foi considerado atendido. No documento “Como é realizado o compartilhamento de dados pessoais em caso de investigação?”, a empresa informa que, em regra, os dados de geolocalização só podem ser requisitados por meio de ordem judicial e esclarece sobre as hipóteses restritas em que o Ministério Público e pelo delegado de polícia podem realizar a requisição:
Por fim, indicamos que dados sobre geolocalização do aparelho não são compartilhados com terceiros para fins de realização de investigação. Contudo, dados de localização de estações rádio base utilizadas por um aparelho, em tempo real ou pretérito, podem ser fornecidas a partir de ordem judicial, salvo para casos de prevenção e repressão dos crimes relacionados ao tráfico de pessoas, hipótese do artigo 13-B do Código de Processo Penal, em que os dados de localização poderão ser requisitados por membro do Ministério Público ou o delegado de polícia.
O parâmetro IV, referente à promessa de fornecer registros de conexão apenas mediante ordem judicial estritamente nos termos do Marco Civil, foi considerado atendido. A empresa informa, no documento “Como é realizado o compartilhamento de dados pessoais em caso de investigação?”, que a solicitação de registros de conexão só ocorre mediante ordem judicial (vide trecho acima).
Por fim, o parâmetro V, relativo à existência de protocolos específicos sobre entrega de dados ao estado, foi considerado atendido. Neste ano, a empresa incluiu em seu Portal de Privacidade o documento intitulado “Como é realizado o compartilhamento de dados pessoais em caso de investigação?”, que fornece informações sobre os protocolos, requisitos e hipóteses de entregas de dados para investigações.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Tim Banda Larga obteve estrela cheia, pois atendeu a ambos parâmetros.
Quanto ao parâmetro I, referente à contestação de legislação, foi considerado atendido. Na fase de engajamento com as empresas, a empresa apresentou a ação, protocolada em conjunto com outras operadoras de telefonia, em que contesta a Lei n° 9.182/2021, do Estado do Rio de Janeiro. A referida legislação institui o alerta obrigatório de crianças e adolescentes desaparecidos pelas companhias de telefonia celular aos seus usuários e dá outras providências. Entre outros argumentos, as empresas afirmam que a lei viola o direito constitucional à privacidade e viola a Lei Geral de Proteção de Dados.
Por fim, para averiguação do parâmetro II, referente à contestação de pedidos abusivos, realizamos buscas exploratórias na base de dados do Tribunal de Justiça do Estado de São Paulo e no portal “Jusbrasil”, em ambos os casos pelos termos “TIM S/A E quebra E sigilo”; “TIM S/A E dados pessoais”; e “TIM S/A E privacidade”, e por acórdãos publicados entre 01/08/2019 e 31/07/2020. Ressaltamos que a escolha pelo Jusbrasil como fonte secundária se dá pelo fato de agregar julgados de todos os tribunais estaduais brasileiros, em detrimento da busca em todos os tribunais individualmente.
Nas buscas, foi encontrada no Tribunal de Justiça do Ceará a ação n° 0830946-86.2014.8.06.0001, em que a empresa contesta a competência do Juízo Cível para a quebra do sigilo telefônico. Portanto, o parâmetro foi considerado atendido.
Ações consideradas nas versões anteriores do Quem Defende Seus Dados, como a Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais, e a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, não foram consideradas, já que não registraram movimentações.
Nessa categoria, convidamos as empresas, nessa fase de envio e discussão dos resultados preliminares do relatório, a compartilharem conosco ações judiciais e administrativas em que tenham participado e que possam ser consideradas para essa categoria. Ressaltamos, também, que processos que ocorram sob segredo de justiça ou cujas informações possam violar a privacidade de seus usuários poderão ser compartilhados com seus números, nomes, autoridades solicitantes e outros dados potencialmente pessoais ou sensíveis suprimidos, de forma somente a comprovar, para nós, a atuação da empresa na defesa judicial ou administrativa de seus clientes, durante o período analisado.
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a TIM Banda Larga obteve estrela cheia, pois atendeu integralmente ao parâmetro I e parcialmente ao parâmetro II.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado atendido. Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários.
Durante a fase de engajamento, a empresa enviou ao InternetLab algumas contribuições a consultas públicas. Destacamos aqui a contribuição individual da TIM à tomada de subsídios para regulamentação da aplicação da LGPD para microempresas e empresas de pequeno porte da ANPD, em que a TIM defende que “qualquer medida de flexibilização em favor de agentes econômicos de pequeno porte e/ou startups deve somente alcançar a posição de controlador, na forma definida no artigo 5º, inciso VI, da LGPD, não alcançando aquelas hipóteses em que o agente econômico integra a cadeia de tratamento de dados pessoais na condição de operador (cf. artigo 5º, inciso VII, da LGPD)”.
O parâmetro II, relativo ao posicionamento da empresa sobre medidas de segurança, foi considerado atendido. Ao longo de 2020 e início de 2021, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas e práticas que promovam a segurança dos dados de seus usuários, como por exemplo: a Consulta Pública n° 24 da Anatel, sobre a reavaliação da estrutura e regimento interno das Comissões Brasileiras de Comunicações – CBC, cujo art. 2°, IV dispõe sobre as ações da Comissão no que se refere à Aspectos políticos relacionados à Segurança Cibernética e à Inteligência Artificial; o regulamento de Segurança Cibernética para o setor de Telecom, aprovado pela Anatel em 2020; a proposta da Anatel de criação de um grupo de cooperação em segurança cibernética; entre outras.
Em fevereiro de 2021, durante a audiência pública realizada na Câmara dos Deputados sobre a implementação do 5G no Brasil, a empresa, por intermédio de seu vice-presidente de Relações Institucionais, defendeu a construção e financiamento de um centro de excelência de Segurança Brasileiro, com o objetivo de garantir a segurança das redes. Portanto, já que houve o posicionamento público da empresa, o parâmetro foi considerado atendido.
Ainda, em 2021, a TIM incluiu um novo documento em seu Portal de Privacidade, intitulado “Política de Segurança da Informação e Segurança Cibernética”, em que, entre outras coisas, disponibiliza um canal de comunicação específico para casos de segurança. Parabenizamos a empresa pela disponibilização de um documento específico em que informa, com detalhes, sobre práticas de segurança e meios de exercício de direitos.
No entanto, vale ressaltar que a Tim foi uma das empresas notificadas pelo Procon, no início de 2021, pelo suposto vazamento de dados de mais de 100 milhões de clientes. Em resposta, a empresa informou apenas:
“Não identificou a ocorrência de ataque ou vazamento que colocasse em vulnerabilidade dados de seus clientes ou dados próprios”.
No entanto, não foram dadas explicações mais robustas sobre o caso, nem foram defendidos concretamente normas ou técnicas que pudessem fazer frente às alegações. A resposta da empresa foi considerada excessivamente genérica. Contudo, nesta edição do relatório, as respostas relativas ao megavazamento não foram consideradas para fins de pontuação.
Nessa categoria, convidamos as empresas, nessa fase de envio e discussão dos resultados preliminares do relatório, a compartilharem conosco outros eventos públicos e participações relevantes que possam ser consideradas para essa categoria.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a TIM Banda Larga obteve três quartos de estrela, pois atendeu aos parâmetros I, II, III e parcialmente ao parâmetro IV.
Nesta categoria, a TIM Banda Larga obteve três quartos de estrela, pois atendeu aos parâmetros I, II, III e IV.
O parâmetro I, relativo à publicação de relatórios de transparência em português, foi considerado atendido, já que a TIM publicou este ano, em português, um Relatório de Sustentabilidade sobre suas atividades no Brasil. Mesmo que ainda caibam aperfeiçoamentos (vide itens abaixo), o relatório contém informações sobre a quantidade de ofícios recebidos do poder judiciário e o número de ações judiciais em que a empresa está envolvida, razão pela qual se considerou o parâmetro atendido.
O parâmetro II, relativo à acessibilidade do relatório de transparência, foi considerado atendido. Isso porque o Relatório de Sustentabilidade pode ser localizado em dois cliques a partir da página inicial da TIM, em “Sustentabilidade” e, logo após, em “Relatório de Sustentabilidade”.
O parâmetro III, relativo à periodicidade do relatório, foi considerado atendido. Na página de acesso aos relatórios estão disponíveis as versões publicadas nos anos anteriores.
O parâmetro IV, relativo às informações sobre pedidos de acesso a dados, foi considerado parcialmente atendido.
Sub-parâmetro (a): não atendido. Em seu relatório de transparência, a empresa informa (p. 54):
Em 2020, foram iniciadas 687 ações judiciais relacionadas à privacidade de dados e encerradas 5932, sendo 293 com decisões favoráveis. Nos 300 processos com decisões desfavoráveis à Companhia, houve o pagamento de cerca de R$ 2 milhões.
No mesmo período, a TIM recebeu 114 ações judiciais relativas à quebra de sigilo telefônico ou telemático e 81 casos foram encerrados. As solicitações à TIM de quebra de privacidade por parte da Justiça, em 2020, somaram mais de 1 milhão conforme segue:
• Interceptações telefônicas: 427 mil
• Dados cadastrais: 391 mil
• Extratos telefônicos: 600
2) Número de clientes cujas informações foram solicitadas (número)
(2) Atualmente não é possível auferir com precisão o número de clientes afetados pelos pedidos de informações, uma vez que autoridades diferentes podem solicitar os mesmos dados em oportunidades diversas. [p. 93]
Vale notar, no entanto, que a redação acima, mesmo que aponte a quantidade de pedidos feitos, afirma que “não é possível auferir com precisão o número de clientes afetados pelos pedidos de informações”, contudo isso já foi feito por outras empresas.
Sub-parâmetro (b): atendido. O item acima traz o tipo de dado solicitado (interceptações telefônicas, dados cadastrais e extratos telefônicos.
Sub-parâmetro (c): não atendido. A empresa, em seu Relatório de Transparência, não traz dados considerados suficientes para atender ao sub-parâmetro.
Por fim, o parâmetro V, relativo à publicação de Relatórios de Impacto à Proteção de Dados, não foi considerado atendido. Não foram localizados quaisquer documentos nesse sentido em nossas buscas.
CATEGORIA 6: Notificação do usuário
Resultado:
A TIM não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
VIVO
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Nesta categoria, a Vivo Banda Larga obteve estrela cheia, tendo atendido aos parâmetros I, II e III, e parcialmente ao parâmetro V.
Embora os contratos de telefonia banda larga ofereçam poucas informações sobre as práticas de tratamentos de dados da empresa, constatamos que a maior parte das informações está disponível no Relatório de Sustentabilidade, no Centro de Privacidade e nas Políticas de Privacidade da Vivo. No Centro de Privacidade, os usuários contam divisões visuais e acessíveis sobre “Segurança da Informação”, “Exercício dos Direitos”, dentre outras.
A Vivo atende ao parâmetro I, fornecendo informações claras e completas sobre todos os sub-parâmetros.
O sub-parâmetro (a), referente aos dados coletados, foi considerado cumprido. Em seu Centro de Privacidade, em “Tratamento de Dados”, a empresa informa a natureza das informações coletadas.
As mesmas informações são repetidas na Política de Privacidade Local da Vivo. Ainda, no Contrato de Adesão de Prestação do Serviço de Telefônico Fixo Comutado, a empresa informa (cláusula 13) sobre a coleta de registros de conexão, nome, dentre outros dados.
O sub-parâmetro (b), referente às situações em que a coleta ocorre, também foi considerado cumprido. Isso porque, mesmo que não haja redação específica para apontar situações onde os dados são coletados, nas seções “Natureza das informações coletadas” (vide trecho acima) e “Para que e como coletamos” (vide trecho abaixo), informa-se que os dados coletados são os disponibilizados quando se contrata os serviços, por meio da interação com canais de informação, dentre outros. Considerou-se que tais informações são capazes de detalhar as situações em que a coleta ocorre.
O sub-parâmetro (c), referente à finalidade do tratamento de dados, também foi considerado cumprido. No Centro de Privacidade, em “Para que coletamos” a empresa descreve algumas das finalidades.
Ademais, nas cláusulas 5.3 e 13.1 do Contrato de Adesão, a empresa explicita as finalidades da coleta de dados, como seu uso para envio de e-mails, malas diretas, prestação de serviços ou para finalidades de marketing.
5.3 O CLIENTE tem a opção de autorizar ou não a VIVO a enviar-lhe, e-mails, malas diretas, encartes ou qualquer outro instrumento de comunicação ofertando serviços e/ou produtos da VIVO ou empresas a esta relacionada ou parceiras, bem como fornecer a estas os dados cadastrais/pessoais fornecidos para a presente contratação, para a oferta de seus produtos e/ou serviços. Tais permissões podem ser revogadas pelo CLIENTE, a qualquer momento, por meio de solicitação feita à Central de Relacionamento com o CLIENTE.
13.1. Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão tratados na forma da legislação vigente e regulamentação aplicável, exclusivamente com o objetivo de prestação do(s) serviço(s) de telecomunicação (ões) objeto deste Contrato, bem como para análise de perfil do CLIENTE, ou para finalidades de marketing, por forma a (i) garantir a adequação das melhores ofertas de acordo com as necessidades do CLIENTE; e (ii) melhorar a performance dos serviços prestados, podendo ainda os mesmos ser tratados pela VIVO, seus parceiros ou por terceiros por contratados pela VIVO, de forma anonimizada de modo a permitir análise e construção de padrões, comportamentos, escolhas, e consumos para as finalidades aqui previstas.
O sub-parâmetro (d), referente à forma como se dá a utilização, foi considerado cumprido. Isso porque fornece indiretamente informações sobre a forma de utilização nos trechos apontados acima (demonstrando as situações em que a coleta ocorre e a sua finalidade) e informações sobre tempo e local de armazenagem etc.
Por fim, o sub-parâmetro (e), relativo à informação quanto aos direitos dos titulares e meios para exercícios desses direitos, também foi considerado atendido. No Centro de Privacidade, em “Exercício dos Direitos”, a empresa lista alguns direitos dos titulares sobre seus dados. Por mais que outros direitos poderiam ter sido mencionados, como o direito à portabilidade e o de revisão de decisão automatizadas, a redação apresentada foi considerada satisfatória. Além disso, a mesma página oferece portais, e-mails ou número de telefone e de SMS para que se possa exercer tais direitos, a depender do direito a que se refere.
Deve-se ressaltar que, especificamente quanto ao direito de exclusão dos dados pessoais, a empresa simplesmente afirma “manter os dados pelo tempo necessário” previsto em lei, encaminhando o usuário para a sua Política de Privacidade caso queira saber sobre os “períodos de armazenamento”. A redação dá a entender que o direito de exclusão não pode ser exercido. Idealmente, a empresa deveria ter especificado quais dados podem ser excluídos e quais não, assim como a razão para tal distinção.
O Contrato de Adesão também traz previsões acerca dos direitos dos titulares. A cláusula 5.3, reproduzida acima, garante ao cliente a possibilidade de revogar, a qualquer momento, as permissões concedidas por meio de solicitação no Central de Relacionamento com o Cliente. Ainda, na cláusula 5.1.8., a empresa elenca como direito do cliente a “resposta eficiente e tempestiva pela VIVO às suas reclamações, solicitações de serviços e pedidos de informação“.
Quanto ao parâmetro II, referente ao fornecimento de informações claras e completas sobre a proteção de dados pessoais, considerou-se, na média, que foi atendido, tendo sido os sub-parâmetros (c) e (d) considerados atendidos, os sub-parâmetros (a), (b), (e), (f), (g) parcialmente atendidos e o parâmetro (h) não atendido.
O sub-parâmetro (a), referente ao tempo e local de armazenamento dos dados, foi considerado parcialmente cumprido. No Centro de Privacidade, em “Tratamento dos Dados” e “Armazenamento dos Dados”, a empresa informa as práticas adotadas.
Ainda, no Contrato de Adesão, a empresa informa que os dados pessoais são armazenados por 5 anos e que os contratos são mantidos por 10 anos.
13.2 Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão armazenados pela VIVO ou por um terceiro subcontratado pela VIVO pelo prazo de 5 (cinco) anos, sendo os Contratos armazenados pelo prazo de 10 (dez) anos, por forma a garantir o cumprimento das correspondentes obrigações legais aplicáveis, sendo garantido aos CLIENTES que o armazenamento dos seus dados pessoais pela VIVO ou por terceiros subcontratados será efetuada mediante a adoção de medidas de segurança e proteção física e lógica das informações.
As informações sobre tempo de armazenamento foram consideradas satisfatórias, pois são apresentados os prazos de armazenamento detalhados para cada tipo de dado coletado, especificando-se, ainda, quais os prazos máximos de armazenamento. Quanto ao local de armazenamento, a empresa informa, na sua Política de Privacidade da Telefônica:
– A informação é preferencialmente tratada internamente na Telefônica Vivo ou em empresas do Grupo Telefônica, respeitando sempre a legislação vigente do Brasil.
– Em alguns casos a informação pode ser compartilhada com empresas parceiras, das quais são exigidos controles de segurança para proteção das informações.
Considerou-se a redação do trecho acima, por ser excessivamente ampla, insatisfatória. Mesmo que a empresa informe que “a informação é preferencialmente tratada internamente”, não são esclarecidas as hipóteses em que os dados são tratados externamente, quais os países onde são armazenados, quais tipos de dados são armazenados em cada local, dentre outras informações relevantes que poderiam ter sido fornecidas.
O sub-parâmetro (b), referente a quando/se os dados são apagados, considerou-se parcialmente atendido. Isso porque, no mesmo trecho apontado acima, em “Armazenamento dos Dados” no Centro de Privacidade, infere-se que os dados são apagados após o decurso do prazo apontado, mas não há esclarecimento se isso efetivamente ocorre.
O sub-parâmetro (c), relativo às práticas de segurança da empresa, foi considerado atendido. No Relatório de Sustentabilidade de 2020 da empresa (p. 41), a empresa informa alguns dos padrões de segurança que utiliza para garantir a proteção dos usuários, afirmando ter desenvolvido, “com base nos requisitos de segurança da companhia e frameworks de mercado (ISO 27001 e ISO 22301, NIST, PCI/DSS etc.), especialmente relacionados a sistemas e servidores seguros”, uma “lista extensa de protocolos a serem seguidos”. Além disso, no Centro de Privacidade, em “Segurança da Informação”, a empresa informa alguns padrões de segurança que utiliza, como a criptografia na transferência dos dados pessoais dos dispositivos dos usuários, declara permitir o acesso aos dados somente a pessoas autorizadas, conforme o ‘princípio do privilégio mínimo’, afirma propiciar auditabilidade de quaisquer atividades tomadas com os dados, dentre outros.
O sub-parâmetro (d), referente a quem tem acesso aos dados, também foi considerado atendido, já que a empresa, vide parágrafo acima, afirma que somente pessoas autorizadas, conforme o ‘princípio do privilégio mínimo’, podem ter acesso aos dados. Mesmo que informações mais detalhadas sobre quais funcionários podem acessar os dados poderiam ter sido fornecidas, a menção ao princípio do privilégio mínimo indica para a existência de padrões mais claros em relação a tais acessos, razão pela qual o sub-parâmetro foi considerado cumprido.
O sub-parâmetro (e), referente aos terceiros com quem os dados são compartilhados, foi considerado parcialmente atendido. A Vivo, no Centro de Privacidade, em “Compartilhamento de Informações”, na cláusula 13.4, 13.5 e 13.7 do Contrato de Adesão, e na Cláusula 5 de sua Política de Privacidade Local, a empresa elenca algumas hipóteses de fornecimento de dados a terceiros.
Contrato de Adesão:
13.7 Salvo o disposto nos itens anteriores, não haverá o fornecimento a terceiros de demais dados pessoais, inclusive registros de conexão, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei identificadas na cláusula 13.4 e 13.5 deste Contrato.
As informações acima, mesmo que ofereçam algum guia para quais terceiros têm acesso aos dados, são excessivamente abrangentes. Não determinam quais terceiros podem recebê-los, não traz exemplos de situações em que possa ter havido autorização expressa do usuário, não tendo sido encontrados casos de tais autorizações nos documentos analisados e não determina quais dados e em quais situações são compartilhados. No entanto, por haver preocupação em apontar informações sobre o tema, com um mínimo de detalhamento, o sub-parâmetro foi considerado parcialmente atendido.
O sub-parâmetro (f), relativo às finalidades do compartilhamento de dados com terceiros, considerou-se igualmente que foi parcialmente atendido. Isso porque as informações trazidas sobre o tema, referenciadas na análise do sub-parâmetro (e) acima, assim como em redação bastante similar na Cláusula 5 de sua Política de Privacidade local, são pouco claras e afirmam somente de forma genérica que os dados podem ser compartilhados “para garantir, por exemplo, a prestação dos serviços contratados por você”. Não são dadas informações mais claras sobre as hipóteses de compartilhamento e suas finalidades. No entanto, por haver preocupação em apontar informações sobre o tema, com um mínimo de detalhamento, o sub-parâmetro foi considerado parcialmente atendido.
O sub-parâmetro (g), referente às hipóteses de transferência internacional de dados, foi considerado parcialmente atendido. Em seu centro de privacidade, assim como em redação bastante similar na Cláusula 6 de sua Política de Privacidade local, a empresa informa sobre o compartilhamento de dados com o Grupo Telefónica, do qual a empresa faz parte.
As informações acima não esclarecem as hipóteses e situações em que os dados podem ser enviados para fora do país de maneira clara ou exaustiva. No entanto, por haver preocupação em apontar informações sobre o tema, com um mínimo de detalhamento, o sub-parâmetro foi considerado parcialmente atendido.
Por fim, o sub-parâmetro (h), referente à data da última atualização da política de privacidade, não foi atendido. Não há referências a alterações no Centro de Privacidade da Vivo, onde a maior parte das informações sobre privacidade são apresentadas. Além disso, sua própria Política de Privacidade Local afirma, na cláusula 17, que “esta Política de Privacidade e Proteção de Dados poderá ser revisada a qualquer tempo e sem prévio aviso”.
O parâmetro III, que avalia se a empresa respondeu tempestivamente à solicitação de pedidos de acesso aos dados por integrantes do InternetLab, foi considerado atendido. O InternetLab realizou um pedido de acesso a dados em 21 de julho de 2021 por meio do portal da privacidade da empresa, que, no entanto, resultou em uma mensagem de erro. Após contato com o DPO da empresa, o erro foi corrigido e informações cadastrais do titular puderam ser acessadas por meio do portal.
O parâmetro IV, que avalia se a empresa promete enviar notificações ao usuário quando da atualização de suas políticas de privacidade, não foi considerado atendido. Nenhum documento da Vivo mencionava tal possibilidade, e sua própria Política de Privacidade Local afirma, na cláusula 17, que “esta Política de Privacidade e Proteção de Dados poderá ser revisada a qualquer tempo e sem prévio aviso.” Na fase de engajamento, a empresa informou que sua política de privacidade local seria atualizada para prever a notificação dos usuários no caso de sua alteração. No entanto, na data de fechamento deste relatório, a mudança ainda não tinha sido realizada, ainda constando o texto aqui mencionado na cláusula 17.
Por fim, o parâmetro V, referente à acessibilidade das informações sobre privacidade e proteção de dados, foi considerado parcialmente atendido. Isso porque a Vivo dispõe de um Centro de Privacidade, mencionado diversas vezes acima, com informações claras e, no geral, completas sobre o tema. Além disso, o centro pode ser facilmente acessado na página inicial da Vivo.
No entanto, a maior parte de tais informações não são apresentadas nos contratos de internet banda larga da empresa, prática que seria recomendável para que as informações pudessem ser acessadas por todos os clientes, consentidas legalmente por eles, e pormenorizadas de acordo com cada tipo de serviço contratado.
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Vivo Banda Larga obteve estrela cheia, tendo cumprido os parâmetros I, II e V, parcialmente o parâmetro IV e não atendido o III.
O parâmetro I, referente à identificação das autoridades competentes para requisitar dados, foi considerado cumprido. Na página 22 do Informe de Transparencia en las Comunicaciones 2021 da Telefônica, há a definição de quais seriam as autoridades competentes para interceptações e requisição de metadados de acordo com a legislação brasileira, além de menção da competência dos “juízes de qualquer esfera”:
“Interceptación legal: De acuerdo con el artículo 3o de la Ley Federal brasileña n. 9.296/1996 (ley de las interceptaciones), solamente el Juez (de la esfera criminal) puede determinar las interceptaciones (telefónicas y telemáticas), a petición de la Fiscalía (Ministério Público) o Comisario de Policía (Autoridade Policial).
Metadatos asociados a las comunicaciones: Autoridades competentes » Fiscalía, Comisarios de Policía y Jueces de cualquier esfera, como también Presidentes de las Comisiones Parlamentarias de Investigación: el nombre y dirección del usuario registrado (datos de abonado), así como la identidad de los equipos de comunicación (incluyendo IMSI o IMEI).”
Jueces de cualquier esfera: los datos para identificar el origen y el destino de una comunicación (por ejemplo, números de teléfono, nombres de usuario para los servicios de Internet), la fecha, hora y duración de una comunicación y la localización del dispositivo.”
Isso significa que a Vivo entrega dados cadastrais mediante requisição de representantes Ministério Público (“Fiscalía”), autoridades policiais (“comisarios de policía”) e juízes. Registros de conexão e dados de localização são disponibilizados apenas mediante ordem de um juiz.
O parâmetro II, referente à identificação das autoridades competentes e dos crimes no âmbito dos quais a requisição ocorrer, foi considerado atendido. No Informe de Transparencia en las Comunicaciones, é citado, ao lado de outros diplomas legais, o Art. 15 da Lei 12.850/13 (Lei das Organizações Criminosas) como “Contexto Legal” para a requisição de “metadados associados às comunicações”. Além disso, no seu Centro de Privacidade, em “Protocolo de Entrega de Dados para Autoridades”, a empresa informa as leis que amparam a entrega de dados e autoridades competentes para requisição de dados sigilosos.
O InternetLab enaltece a listagem das leis que permitem a entrega de dados para autoridades competentes no centro de privacidade da Vivo, de forma facilmente acessível para seus usuários.
O parâmetro III, referente ao oferecimento de informações sobre dados de geolocalização, não foi considerado cumprido. Mesmo que o Informe de Transparência mencionado acima inclua a “localização do dispositivo” dentre os dados que podem ser requisitados por ordem judicial, e que o Protocolo de Entrega de Dados mencione a possibilidade de dados de “Localização de Estação Rádio-Base”, não há qualquer detalhamento sobre as circunstâncias em que compartilha dados geolocacionais e por quê, não fornecendo as informações exigidas pelos sub-parâmetros desse item.
O parâmetro IV, referente à promessa de fornecer registros de conexão apenas mediante ordem judicial estritamente nos termos do Marco Civil, foi considerado parcialmente cumprido. Por um lado, o mesmo trecho apontado acima é claro ao definir que somente juízes terão acesso aos dados sobre origem e destino de uma comunicação, de que se depreende que tal acesso se dará mediante ordem judicial. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados).
Por fim, o parâmetro V, relativo à existência de protocolos específicos sobre entrega de dados ao estado, foi considerado atendido. Este ano, localizamos uma seção específica no Centro de Privacidade da Vivo voltada a tais solicitações, com o próprio título de “Protocolo de Entrega de Dados a Autoridades”. O InternetLab enaltece a criação dessa nova seção, em nosso conhecimento, pouco usual na indústria.
O InternetLab enaltece ainda a conduta da Telefónica Global de tornar públicas diversas interpretações sobre a entrega de dados, autoridades competentes, quantidade de pedidos rechaçados e atendidos, dentre outros, em seu relatório de transparência. No entanto, reforçamos que há necessidade de apresentar tais informações em português para que a empresa seja pontuada sem ressalvas, seja em contratos, no Relatório de Sustentabilidade, ou outros materiais.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Vivo Banda Larga obteve estrela cheia, pois atendeu aos dois parâmetros.
O parâmetro I, referente à contestação de legislação, foi considerado atendido. Na fase de engajamento com as empresas, a empresa apresentou algumas ações nesse sentido. Por exemplo, mencionamos uma ação, protocolada em conjunto com outras operadoras de telefonia, em que se contestam alterações ao Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações – RGC que obrigariam as empresas a fornecerem, a qualquer destinatário de ligações telefônicas, dados pessoais da pessoa que fez a ligação (Ação rescisória no 0802518-50.2020.4.05.0000).
Por fim, o parâmetro II foi igualmente considerado atendido. Na fase de engajamento com as empresas, a Vivo apresentou ao InternetLab, com informações sensíveis tarjadas, diversas respostas a ofícios administrativos em que se negou a fornecer dados pessoais a autoridades públicas. Por exemplo, há situações em que negou a entrega de Histórico de Chamadas e Localização de ERBs ao Ministério Público e às Autoridades Policiais, sob a justificativa de ausência da observação do princípio da reserva constitucional de jurisdição.
Ações consideradas nas versões anteriores do Quem Defende Seus Dados, como a Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais, e a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, não foram consideradas, já que não registraram movimentações.
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a Vivo Banda Larga obteve meia estrela, pois atendeu ao parâmetro I.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado atendido. Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários.
Durante a fase de engajamento com as empresas, a Vivo nos forneceu exemplos de situações nesse sentido. Por exemplo, em artigo de opinião, publicado no portal Poder 360 em setembro de 2021 por Breno Oliveira, diretor jurídico da Telefônica Brasil, defendem-se algumas técnicas de privacidade e formas de se realizar a implementação da LGPD de maneira “bem-sucedida”.
O parâmetro II, relativo ao posicionamento da empresa sobre medidas de segurança, não foi considerado atendido. Ao longo de 2020 e início de 2021, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas e práticas que promovam a segurança dos dados de seus usuários, como por exemplo: a Consulta Pública n° 24 da Anatel, sobre a reavaliação da estrutura e regimento interno das Comissões Brasileiras de Comunicações – CBC, cujo art. 2°, IV dispõe sobre as ações da Comissão no que se refere a aspectos políticos relacionados à Segurança Cibernética e à Inteligência Artificial; o regulamento de Segurança Cibernética para o setor de Telecom, aprovado pela Anatel em 2020; a proposta da Anatel de criação de um grupo de cooperação em segurança cibernética; entre outras.
Durante a fase de engajamento, a empresa nos forneceu cópia de suas contribuições à Consulta Pública nº 24 da Anatel, em que defende, principalmente, ampliação do diálogo e da participação do setor privado nas temáticas desenvolvidas pelas CBCs. No entanto, não há, nessa consulta, qualquer menção a técnicas de segurança.
Vale ressaltar que a Vivo sofreu em 2020 um suposto ataque cibernético a seu aplicativo, em que foram vazados diversos dados de clientes, sendo inclusive que chegou a ser processada pelo coletivo Intervozes para obtenção de maiores informações e notificada pela Anatel e pelo Procon. Na fase de engajamento, a empresa nos apresentou as respostas públicas apresentadas ao SENACON quanto ao caso, em que afirma ter avaliado seus sistemas internos e não ter averiguado qualquer incidente de segurança. No entanto, não há menções a melhorias em técnicas de segurança.
Por fim, em geral, perante a mídia, a empresa negou-se a comentar o suposto vazamento e afirmou que “o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada”. Não foram dadas explicações mais robustas sobre o caso, nem foram defendidos concretamente normas ou técnicas que pudessem fazer frente às alegações. A resposta da empresa foi considerada excessivamente genérica. Contudo, nesta edição do relatório, as respostas relativas a tais vazamentos não foram consideradas para fins de pontuação.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a Vivo Banda Larga obteve ¾ de estrela, pois atendeu aos parâmetros I, II e III e parcialmente ao parâmetro IV.
O parâmetro I, relativo à publicação de relatórios de transparência em português, foi considerado atendido. Pelo quinto ano seguido, encontramos a publicação do Informe de Transparencia en las Comunicaciones de 2021, do Grupo Telefônica (documento em espanhol), em que há certo detalhamento sobre o conjunto regulatório em cada país no qual o grupo está presente. Além disso, o Relatório de Sustentabilidade 2020 da Vivo, em português, contém informações sobre privacidade e proteção de dados, apontando alguns requisitos de segurança utilizados, princípios da empresa sobre o assunto, alguns links relevantes, dentre outros. Durante a fase de engajamento, a empresa nos mostrou que seu Informe de Transparência havia sido traduzido ao português e publicado em seu centro de privacidade, razão pela qual o parâmetro foi considerado atendido.
O parâmetro II, relativo à acessibilidade do relatório de transparência, foi considerado atendido. Isso porque tanto o Relatório de Sustentabilidade quanto o Informe de Transparência em português podem ser encontrados na página principal do centro de privacidade da Vivo.
O parâmetro III, relativo à periodicidade do relatório, foi considerado atendido. Nas páginas de ambos relatórios estão disponíveis as versões publicadas nos anos anteriores.
O parâmetro IV, relativo às informações sobre pedidos de acesso a dados, foi considerado parcialmente atendido.
Sub-parâmetro (a): parcialmente atendido. Embora constem informações relevantes sobre os pedidos recebidos no Informe de Transparência da Telefônica, a Vivo esclareceu, em fase de discussão do relatório, que não contabiliza o número de pedidos rechaçados (ou seja, o número de ocasiões em que rejeita ou apresenta contra-argumento à solicitação de dados por autoridade legal).
O sub-parâmetro (b) foi considerado atendido. No Informe de Transparência, somos informados sobre os tipos de dados solicitados por autoridades públicas.
O sub-parâmetro (c) foi considerado atendido. No Informe de Transparência, a Vivo informa o número de acessos afetados pelas solicitações.
Por fim, o parâmetro V, relativo à publicação de Relatórios de Impacto à Proteção de Dados, não foi considerado atendido. Não foram localizados quaisquer documentos nesse sentido em nossas buscas.
CATEGORIA 6: Notificação do usuário
Resultado:
A Vivo Banda Larga não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
ALGAR
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Nesta categoria, a Algar obteve estrela cheia, pois atendeu integralmente aos parâmetros II, III, IV, VI e VII. E atende parcialmente ao parâmetro I.
Ressaltamos, no entanto, que o parâmetro V, relativo aos pedidos de acesso aos dados feitos pelos integrantes do InternetLab à empresa, ainda não foi avaliado, em vista de o referido pedido ainda não ter sido realizado. Os resultados obtidos com tal solicitação poderão melhorar a nota final da empresa nessa categoria.
A Algar atende parcialmente ao parâmetro I. A empresa oferece informações claras e completas sobre o sub-parâmetro (b); e cumpre parcialmente os sub-parâmetro (a).
O sub-parâmetro (a), referente aos dados coletados, foi considerado parcialmente atendido. Na seção “Privacidade de Dados Pessoais”, de sua Política de Dados, a empresa apresenta uma tabela que afirma coletar dados cadastrais e quais seriam dados (nome, data de nascimento, dados bancários etc). A tabela também informa a finalidade do uso dos dados.
Ainda que seja positivo que a empresa discrimine quais são os dados cadastrais coletados, essa informação foi considerada insuficiente para esta edição do relatório, porque a empresa informa apenas um tipo de dado coletado. A empresa não informa outros tipos de dados que coleta, como, por exemplo, dados de localização, dados de tráfego (como duração de ligação, perfil de consumo), entre outros. Por isso, o sub-parâmetro foi considerado parcialmente atendido.
O sub-parâmetro (b), referente às situações em que a coleta ocorre, foi considerado atendido. Na seção “Privacidade de Dados Pessoais”, a empresa informa na cláusula 4.1.3 algumas hipóteses de situações em que a coleta ocorre, como, por exemplo, no preenchimento do contrato, na contratação de outros serviços etc. Considerou-se que tais informações são capazes de detalhar as situações em que a coleta ocorre.
“4.1.3 – Coleta de dados pessoais
4.1.3.1 – Os dados são coletados a partir do preenchimento do contrato de prestação de serviço, contratação de outros serviços ou de informações inseridas em termos, ficha ou formulários físicos ou digitais, quando o processamento está de acordo com nossos interesses legítimos e não menosprezam seus interesses relacionados à proteção de dados ou liberdades e direitos fundamentais;
4.1.3.2 – Havendo necessidade, a Algar Telecom pode receber seus dados pessoais ou dados de uso de terceiros. Por exemplo, se você estiver em outro site e optar por ser contatado pela Algar Telecom, esse site transmitirá seu endereço de email e outros dados pessoais para nós, para que possamos entrar em contato com você conforme solicitado.”
O sub-parâmetro (c), referente à possibilidade de coleta de dados disponíveis publicamente, foi considerado não atendido. Não há menção acerca da coleta de dados públicos.
O sub-parâmetro (d), referente à listagem por nome de quais terceiros fornecem dados à empresa, foi considerado não atendido. Não há listagem dos terceiros fornecedores de dados.
O sub-parâmetro (e), relativo à conformidade legal de terceiros com a LGPD, foi considerado não atendido. Isso porque essa necessidade de conformidade não foi encontrada em nenhum documento público da empresa.
O parâmetro II, referente ao fornecimento de informações acerca da finalidade dos dados coletados, foi considerado, na média, atendido, pois a empresa atendeu ao sub-parâmetro (a) parcialmente e ao (b) integralmente.
O sub-parâmetro (a), referente à finalidade do tratamento de dados, foi considerado parcialmente atendido. Na sua Política de Privacidade de Dados Pessoais (vide tabela reproduzida no sub-parâmetro (a)), a empresa informa quatro finalidades do tratamento de dados: (i) identificar o cliente; (ii) cumprir obrigação legal; (iii) proteção de crédito e procedimentos e cobrança; e (iv) garantir a segurança do cliente. De forma indireta, a cláusula 4.1.5.1 (vide trecho abaixo) elenca como finalidade do tratamento de dados fins comerciais. Tais informações foram consideradas excessivamente genéricas e pouco esclarecedoras. No entanto, como houve preocupação em listar ao menos 5 hipóteses distintas, o parâmetro foi considerado parcialmente cumprido.
O sub-parâmetro (b), referente à forma como se dá a utilização, foi considerado atendido. Na mesma seção “Privacidade de Dados Pessoais”, de sua Política de Dados, a empresa informa nove hipóteses de utilização dos dados coletados como, por exemplo, para comunicar o cliente sobre sua conta ou para fornecer acesso a determinadas áreas e recursos dos sites:
“4.1.5 – Tipo de Dados
4.1.5.1 – A Algar Telecom utiliza os dados de uso coletados por meio de sites para fins comerciais, incluindo:
Responder as perguntas e pedidos de seus clientes;
Fornecer acesso a determinadas áreas e recursos dos sites;
Verificar a identidade do usuário;
Comunicar com o cliente sobre a sua conta e atividades nos canais de atendimento;
Ajustar conteúdo, anúncios e ofertas fornecidas;
Processar pagamentos por produtos ou serviços;
Melhorar o site e demais canais de atendimento;
Desenvolver novos produtos e serviços;
Processar aplicações e transações.”
O parâmetro III, referente ao fornecimento de informações claras e completas sobre a proteção de dados pessoais, foi considerado, na média, cumprido, pois a empresa fornece informações claras e completas sobre os sub-parâmetros (a), (b), (c) e (i); e cumpre parcialmente os sub-parâmetros (e), (g) e (h).
O sub-parâmetro (a), referente ao tempo e local de armazenamento dos dados, foi considerado atendido. Sobre o local de armazenamento, a empresa informa, em sua Política de Privacidade de Dados Pessoais e na Política de Governança de Dados, que armazena os dados em servidores próprios da Algar no Brasil e também em servidores na nuvem.
4.1.9 – Servidores de Armazenamento
Os dados coletados serão armazenados em servidores próprios da Algar Telecom localizados no Brasil, bem como em ambiente de uso de recursos ou servidores na nuvem (cloud computing), o que enseja, neste último caso, transferência ou processamento dos dados fora do Brasil, cumprindo disposições sobre transferência internacional de dados, conforme artigo 33 da Lei Geral de Proteção de Dados ou demais normas aplicáveis.
Governança dos Dados:
4.5.1 – O armazenamento dos dados pessoais pode ser feito de modo físico (guarda de crachás, cartões, fichas, papéis com anotações à mão, formulários, notas fiscais, contratos e outros documentos em papel, por exemplo) ou digital (em mídias como CD, DVD, Blu-Ray, HD externo, pendrive, cartão de memória SD, nas plataformas digitais da Algar Telecom ou em serviço contratado para esta finalidade);
4.5.2 – No caso de armazenamento fora do Brasil, a gerência de proteção de dados deve estar atenta para o país em que o hardware se localiza e, localizando-se no exterior, deve-se acionar a área jurídica da Algar Telecom para verificar se há amparo legal e contratual para que os dados pessoais estejam armazenados esse país;
4.5.3 – Os meios físicos e digitais de armazenamento dos dados pessoais devem assegurar a sua qualidade, devendo ser mantidos exatos e atualizados, de acordo com a necessidade para o cumprimento da finalidade de tratamento;
4.5.4 – Quando o titular dos dados pessoais solicitar a correção ou atualização de seus dados pessoais, o encarregado pelo tratamento de dados pessoais, após análise da requisição, deve acionar as áreas responsáveis para assegurar que os meios físicos e digitais onde esses dados pessoais foram replicados e armazenados sejam também atualizados
Tais informações sobre o armazenamento dos dados pessoais foram consideradas satisfatórias.
Quanto ao tempo de armazenamento, no mesmo documento, a empresa informa que mantém dados cadastrais e de identificação por até 5 anos após o término da relação. Quanto aos “outros dados”, a empresa afirma armazenar “enquanto durar a relação e não houver pedido de apagamento ou revogação de consentimento”:
Quanto ao sub-parâmetro (b), referente a quando/se os dados são apagados, considerou-se que foi atendido. Isso porque, a empresa se compromete a apagar os dados “findo o prazo e a necessidade legal” e tendo cumprido a finalidade do tratamento:
Política de Privacidade dos Dados Pessoais
4.2.2 – Exclusão dos Dados
4.2.2.1 – Os dados poderão ser apagados antes desse prazo, caso solicitado pelo cliente/usuário. No entanto, pode ocorrer de os dados precisarem ser mantidos por período superior, nos termos do artigo 16 da Lei Geral de Proteção de Dados, para cumprimento de obrigação legal ou regulatória, cumprimento do contrato, transferência a terceiro (respeitados os requisitos de tratamento de dados dispostos na mesma lei);
4.2.2.2 – Findo o prazo e a necessidade legal, os dados serão excluídos com uso de métodos de descarte seguro ou utilizados de forma anonimizada para fins estatísticos.
Governança de Dados
Eliminação dos dados pessoais
4.9.1 – Os dados pessoais devem ser armazenados por período limitado, levando em consideração a finalidade específica do tratamento;
4.9.2 – Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado pela tabela de temporalidade, os dados podem ser eliminados de modo seguro, sejam eles registrados em meios físicos ou digitais;
4.9.3 – A eliminação dos dados pessoais poderá ser realizada também a pedido do titular do dado ou da Autoridade Nacional de Proteção de Dados;
4.9.4 – Para a eliminação dos dados devem ser seguidas as definições indicadas no procedimento de eliminação de dados seguro;
4.9.5 – A conservação dos dados pessoais após atingida sua finalidade só será possível nos caso de cumprimento de obrigação legal ou regulatória por parte da Algar Telecom;
4.9.6 – A solicitação de eliminação do dado pessoal pelo titular não será possível quando o dado já tiver sido anonimizado;
4.9.7 – A solicitação também não poderá ser realizada no caso de cumprimento de obrigação legal quanto ao armazenamento destes dados para fins regulatórios, desde que respeitada a tabela de temporalidade.
O sub-parâmetro (c), relativo a quais circunstâncias os dados são retidos, foi considerado não atendido. A empresa apenas cita, em seu documento “Governança de Dados”, que o tratamento de dados pessoais deve ser realizado considerando o tempo de retenção dos dados pessoais (item 4.2.2 (a)), porém não especifica quais as circunstâncias da retenção.
O sub-parâmetro (d), relativo às práticas de segurança da empresa, foi considerado atendido. Em sua Política de Privacidade de Dados Pessoais a empresa se compromete, genericamente, na aplicação de medidas de segurança:
4.1.8 – Segurança dos Dados
A Algar Telecom envidará seus melhores esforços para proteção da informação, principalmente dados pessoais, aplicando as medidas de proteção administrativa e técnica necessárias e disponíveis à época, exigindo de seus fornecedores o mesmo nível aceitável de Segurança da Informação, com base em melhores práticas de mercado, a partir de cláusulas contratuais
Tais esforços mencionados na Política de Privacidade são destrinchados na Política de Segurança da Informação da Algar. No documento, a empresa informa se compromete a “garantir a disponibilidade, integridade e confidencialidade dos dados pessoais, em todo o seu ciclo de vida” e estabelece uma estrutura para segurança da informação, com informações sobre quem são as pessoas que podem ter acesso aos sistemas da Algar Telecom, os ativos disponibilizados e procedimentos a serem adotados nos sistemas e aplicativos da empresa.
PROTEÇÃO DE DADOS PESSOAIS
10.1. A Algar Telecom respeita a privacidade. Assim, deve garantir a disponibilidade, integridade e confidencialidade dos dados pessoais em todo o seu ciclo de vida, em qualquer formato de armazenamento ou suporte, por meio de:
10.1.1. Tratamento autorizado nos termos da legislação de proteção de dados pessoais vigente;
10.1.2. Adoção de medidas de segurança para proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito;
10.1.3. Armazenamento de modo seguro, controlado e protegido;
10.1.4. Processos de anonimização e pseudonimização, sempre que necessário;
10.1.5. Protocolos de criptografia na transmissão e armazenamento, sempre que necessário;
10.1.6. Registro lógico das operações de tratamento;
10.1.7. Descarte seguro dos dados pessoais ao término de sua finalidade, ou quando solicitado pelo titular dos dados pessoais, e sua conservação de acordo com as hipóteses legais e regulatórias;
10.1.8. Transferência a terceiros de modo seguro e contratualmente previsto;
10.1.9. Avaliação de impacto e sistemática à privacidade dos titulares de dados;
10.1.10. Gestão e tratamento adequado de incidentes que envolvam dados pessoais;
10.1.11. Testes, monitoramento e avaliações periódicas de sua efetividade
Já em sua Política de Governança de Dados, a empresa informa, com mais detalhes, as práticas de segurança adotadas:
4.17.1 – Durante todo ciclo de vida do dado pessoal devem ser observadas as diretrizes de segurança existentes na Política de Segurança da Informação e Política – Privacidade de Dados da Algar Telecom disponíveis na biblioteca de documentos da Algar Telecom e portal Algar Telecom na internet;
4.17.2 – A área de gestão de segurança da informação deve assegurar a confidencialidade, integridade e disponibilidade do dado pessoal em todos os meios de armazenamento e transmissão de dados pessoais, considerando:
a) Controles técnicos de segurança envolvidos, como, mas não se limitando:
Firewall;
Criptografia;
Uso de VPN para acesso aos dados fora das dependências da Algar Telecom;
Controles de acesso físico e lógico;
Autenticação em dois fatores;
Armazenamento seguro de documentos físicos;
Gerenciadores de senha.
b) Assegurar que somente pessoas e agentes de tratamento autorizados tenham acesso aos dados pessoais em observância à necessidade e relevância da concessão do acesso;
c) Adoção de medidas de segurança da informação para assegurar que os dados pessoais se mantenham íntegros sem alterações indevidas, exatos, completos e atualizados;
d) Garantia de que os dados pessoais sejam acessíveis e utilizáveis pelas pessoas e entidades autorizadas sempre que sejam necessários;
e) Registro de logs e trilhas de auditoria do ciclo de vida do dado pessoal;
f) Criptografia, pseudonimização e anonimização dos dados pessoais quando for o caso;
g) Treinamento em proteção de dados pessoais e supervisão da adoção das práticas ensinadas.
As informações constantes nos quatro documentos foram considerados suficientes para o sub-parâmetro.
O sub-parâmetro (e), relativamente a se há Política de Segurança Cibernética/TI publicada com informações sobre proteções específicas contra malware. ransomware, worms e outros vírus, foi considerado parcialmente atendido. Isso porque em seu documento “Segurança da Informação”, a empresa cita, no item 17, “Histórico de Alterações”, a revisão geral a partir dos requisitos da norma ISO 27001:2013, em 21/10/2019. Porém, não há maiores explicações da aplicação da norma ou da política de segurança cibernética.
O sub-parâmetro (f), relativamente a quais categorias de colaboradores podem ter acesso aos dados, foi considerado não atendido. Apesar dos controles de acesso serem citados no documento sobre Governança de Dados Pessoais, bem como no documento sobre Segurança da Informação, não há explicação sobre quais as categorias de colaboradores.
O sub-parâmetro (g), referente aos terceiros com quem os dados são compartilhados, foi considerado parcialmente atendido. Em sua Política Privacidade de Dados e em sua Política de Governança, a empresa informa que “compartilha dados pessoais com parceiros e fornecedores autorizados” e que para que os dados sejam compartilhados é preciso que as partes “tenham firmado contrato com cláusulas referentes à proteção de dados pessoais”, mas não determinam quais terceiros podem recebê-los. As informações oferecidas pela empresa foram consideradas insatisfatórias. No entanto, por haver preocupação em apontar informações sobre o tema, com um mínimo de detalhamento, o sub-parâmetro foi considerado parcialmente atendido.
Política de Privacidade
4.1.6 – Compartilhamento
A Algar Telecom somente compartilha os dados pessoais com parceiros e fornecedores autorizados para atendimento das finalidades informadas nesta política, tendo ainda que compartilhar com terceiros e autoridades dentro das hipóteses de cumprimento de obrigação legal ou regulatória, administração pública, cumprimento do contrato, realização de estudos por órgãos de pesquisa, proteção de crédito ou segurança do cliente/usuário. Nestes casos, a Algar Telecom irá compartilhar o mínimo de informações necessárias para atingir sua finalidade, garantindo sempre que possível, a anonimização dos dados pessoais.
Governança de Dados
4.7.1 – O compartilhamento de dados pessoais ou de documentos/arquivos com dados pessoais em território nacional pode ser feito para agentes de tratamento autorizados, com as medidas de segurança indicadas pela área de gestão de segurança da informação a partir do relatório de impacto à proteção de dados pessoais (DPIA/RIPD), quando o caso e somente para as finalidades de uso ou tratamento prévia e devidamente informadas e legitimadas junto ao titular dos dados pessoais;
4.7.2 – O compartilhamento de dados pessoais com demais agentes de tratamento, excetuando-se o compartilhamento realizado para cumprimento de obrigações legais, somente poderá ocorrer caso estes tenham firmado contrato com cláusulas referentes à proteção de dados pessoais, conforme disposto no item 4.21 deste documento; 4.7.3 – No caso de impossibilidade de celebração de contrato ou aditivo com a parte em questão, um relatório de impacto à proteção dos dados pessoais (DPIA/RIPD) deve ser elaborado e a partir deste relatório devem ser adotados controles mitigatórios em relação à segurança e proteção do tratamento dos dados pessoais;
4.7.4 – O compartilhamento de dados pessoais cujo tratamento tenha como hipótese legal o consentimento somente poderá ocorrer com o consentimento do titular dos dados pessoais, com ciência deste compartilhamento, sendo que este deve ser coletado anteriormente ao início do tratamento dos dados pessoais;
4.7.5 – Os dados pessoais anonimizados podem ser transferidos para terceiros, desde que respeitados os requisitos de tratamento disposto na legislação aplicável e no presente documento;
4.7.6 – O compartilhamento de dados pessoais deve ocorrer somente por canais com medidas de segurança aplicadas
Quanto ao sub-parâmetro (h), relativo às finalidades do compartilhamento de dados com terceiros, considerou-se igualmente que foi parcialmente atendido. Isso porque as informações trazidas sobre o tema, são pouco claras e afirmam apenas que são realizadas para “atendimento das finalidades informadas nesta política”. Não são dadas informações mais claras sobre as hipóteses de compartilhamento e suas finalidades. No entanto, por haver preocupação em apontar informações sobre o tema, com um mínimo de detalhamento, o sub-parâmetro foi considerado parcialmente atendido.
Quanto ao parâmetro (i), relativo às hipóteses de transferência internacional de dados, considerou-se atendido. Em sua Governança de Dados, a empresa informa, de maneira bastante completa, sobre as condições e as finalidades para a transferência internacional de dados:
4.8.1 – Caso os dados pessoais tenham a previsão de serem transferidos para outro país, a possibilidade de compartilhamento com outro controlador deverá ser submetida à análise do encarregado pelo tratamento de dados pessoais (DPO), pela área de gestão de segurança da informação e a área jurídica, de modo que possam avaliar se o país de destino possui grau de proteção de dados que esteja adequado ao ordenamento jurídico brasileiro;
4.8.2 – Se o controlador receptor oferecer e comprovar garantias de cumprimento dos direitos do titular, a transferência internacional de dados também poderá ser possível na forma de
(i) cláusulas contratuais específicas para determinada transferência;
(ii) cláusulas-padrão contratuais;
(iii) normas corporativas globais; e
(iv) selos, certificados e códigos de conduta emitidos pela Autoridade Nacional de Proteção de Dados;
4.8.3 – A transferência internacional de dados pessoais também pode ocorrer a partir das finalidades elencadas abaixo:
a) Quando a transferência for necessária para a proteção da vida do titular ou de terceiros;
b) Quando a Autoridade Nacional autorizar a transferência;
c) Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
d) Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente está de outras finalidades;
e) Para cumprimento de obrigação legal ou regulatória pela Algar Telecom;
f) Quando necessária para execução de contrato e procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
O parâmetro IV, que avalia se a empresa fornece informações claras e completas acerca dos direitos dos titulares, foi considerado integralmente atendido. Ambos os sub-parâmetros, (a) e (b), foram atendidos por completo.
O sub-parâmetro (a), referente à informação sobre quais são e os meios para exercício dos direitos dos titulares sobre seus dados, foi considerado atendido. Isso porque a empresa informa, em sua Privacidade de Dados Pessoais, o e-mail e o nome do responsável pelo tratamento dos dados (DPO).
O sub-parâmetro (b), referente à informação aos titulares sobre seus direitos segundo a LGPD, foi considerado atendido. A empresa, em sua Privacidade de Dados Pessoais, reserva um item para informar sobre os direitos dos titulares:
4.3 – Direitos do Titular dos Dados Pessoais
4.3.1 – Direitos Básicos
O cliente/usuário poderá solicitar ao nosso Encarregado de Dados Pessoais a confirmação da existência tratamento de Dados Pessoais, além da exibição ou retificação de seus Dados Pessoais, por meio do nosso Canal de Atendimento.
4.3.2 – Limitação, Oposição e Exclusão de dados
Pelos Canais de Atendimento, o cliente/usuário poderá também requerer:
A limitação ou anonimização do uso de seus Dados Pessoais;
Manifestar sua oposição e/ou revogar o consentimento quanto ao uso de seus Dados Pessoais;
Solicitar a exclusão de seus Dados Pessoais que tenham sidos coletados e registrados pela Algar Telecom, desde que decorrido o prazo legal mínimo relacionado à guarda de dados; ou,
A portabilidade dos dados a outro prestador de serviços de telecomunicação, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional;
Cancelar os comunicados de marketing que enviamos quando desejar.
As informações foram consideradas satisfatórias para atender ao sub-parâmetro.
O parâmetro V, que avalia se a empresa respondeu tempestivamente à solicitação de pedidos de acesso aos dados por integrantes do InternetLab, foi considerado parcialmente atendido. Embora a empresa tenha respondido dentro do prazo determinado, afirmou não tratar dados pessoais para a conta indicada, que possui plano com a operadora, sem maiores explicações. Consideramos, assim, a resposta insuficiente.
O parâmetro VI, que avalia se a empresa promete enviar notificações ao usuário quando da atualização de suas políticas de privacidade, foi considerado atendido. A empresa inclui em seu site o seguinte aviso:
A Algar Telecom reserva a si o direito de alterar o teor desta Política a qualquer momento, conforme a finalidade ou necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, cabendo ao cliente/usuário verificá-lo junto à Algar Telecom através do site www.algartelecom.com.br. Caso seja necessário alteração da Política, o cliente/usuário será informado via e-mail.
Por fim, o parâmetro VII, referente à acessibilidade das informações sobre privacidade e proteção de dados, foi considerado atendido. A empresa dispõe de uma seção intitulada “Privacidade e Segurança da Informação”, que pode ser acessado no rodapé de seu site, onde constam as Políticas de Privacidade de Dados, Gestão de Serviços, Segurança da Informação, Governança de Dados Pessoais, Uso de Cookies, Termo de Uso de Serviços e Termo de Uso do Site. As informações que constam nos documentos são claras e de fácil acesso ao cliente.
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Algar obteve estrela cheia, pois não atendeu aos parâmetros I, II, IV e V
O parâmetro I, referente à identificação das autoridades competentes para requisitar dados, foi considerado cumprido. No documento Compartilhamento de Dados Pessoais com Autoridades, a empresa informa que apenas fornece dados cadastrais às autoridades administrativas por força da lei ou mediante ordem judicial. As autoridades competentes para as quais a empresa oferece dados são Ministérios Públicos, Autoridades Policiais, Receita Federal e Presidência de Comissões Parlamentares de Inquérito, em conformidade com as previsões legais aplicáveis que autorizam a quebra de sigilo. Tais informações foram consideradas suficientes para fins desta avaliação.
O parâmetro II, referente à identificação das autoridades competentes e dos crimes no âmbito dos quais a requisição ocorrer, foi considerado atendido. Além de mencionar as autoridades competentes (vide parâmetro acima), a empresa informa quais são as hipóteses legais em que a empresa fornece dados cadastrais às autoridades legais:
Constituição Federal de 1988 – artigo 5º. Inciso XII e artigo 58, par. 3º.;
– Lei 9296/1996 – artigo 1º., parágrafo único – Lei da Interceptação Telefônica;
– Lei 9472/1997 – artigo 3º. – Lei Geral das Telecomunicações;
– Lei 12.683/2012 – artigo 7º., “B” – Lavagem de Dinheiro
– Lei 12.830/2013 – artigo 2º. – Investigação Criminal conduzida por Delegado de Polícia
– Lei 12850/2012 – artigo 15 – Organização Criminosa
– Lei 12.695/2014 – artigo 7º. e 10 – Marco Civil da Internet
– Lei 13.344/2016 – artigo 13-B – Busca de Pessoa Desaparecida
– Resolução Anatel 632/2014 –artigo 3º. V – Regulamento Geral de Direitos do Consumidor de Telecomunicações.
O parâmetro III, referente ao oferecimento de informações sobre dados de geolocalização, também não foi considerado atendido. Não foi encontrada menção ao tema nos documentos analisados da Algar.
O parâmetro IV,referente à promessa de fornecer registros de conexão apenas mediante ordem judicial estritamente nos termos do Marco Civil, foi considerado atendido. No documento Compartilhamento de Dados Pessoais com Autoridades, a empresa faz a diferenciação entre dados cadastrais e registros de conexão, bem como suas as hipóteses de fornecimento dos dados:
No que se refere à disponibilização de dados cadastrais para a apuração de crimes, a Algar Telecom fornece dados cadastrais relativos à qualificação pessoal, filiação e o endereço mediante ordem judicial. A Algar Telecom disponibilizará dados cadastrais a Delegados de Polícia ou o Ministério Público quando relativos à qualificação pessoal, filiação e o endereço, mediante requisição, sem ordem judicial, em consonância com o artigo 15, da Seção IV da Lei 12.850/2013, da Lei 9.613/98 (artigo 17-B, Capítulo X) e do artigo 13-A do Código de Processo Penal.
Registros de conexão, como tal entendido como o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados serão informados pela Algar Telecom mediante a apresentação de ordem judicial ou, mediante requisição do Delegados de Polícia ou O Ministério Público, em conformidade com o artigo 15, da Seção IV da Lei 12.850/2013, da Lei 9.613/98 (artigo 17-B, Capítulo X) e do artigo 13-A do Código de Processo Penal.
A Algar disponibiliza informações reais ou pretéritas, apenas mediante ordem judicial.
Por fim, o parâmetro V, relativo à existência de protocolos específicos sobre entrega de dados ao Estado, foi considerado atendido. A empresa disponibiliza em sua Política de Dados um documento denominado “Compartilhamento de Dados Pessoais com Autoridades”, em que a empresa informa hipóteses específicas de entregas de dados ao Estado. Tal documento foi considerado suficiente para fins desta avaliação.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Algar obteve meia estrela, pois não atendeu a um dos parâmetros.
Quanto ao parâmetro I, referente à contestação de legislação, realizamos buscas exploratórias nos sites do Supremo Tribunal Federal e do Superior Tribunal de Justiça por processos em que a empresa fosse parte, foi considerado cumprido.
Em 29/03/2022, o STF publicou o julgamento da Ação Direta de Inconstitucionalidade número 4924/DF51, em que a Associação Nacional das Operadoras Celulares – ACEL, da qual a Algar faz parte, pediu pela declaração de inconstitucionalidade da Lei 17.107/12, do Estado do Paraná, que dispõe sobre penalidades ao responsável pelo acionamento indevido dos serviços telefônicos de atendimento a emergências envolvendo remoções ou resgates, combate a incêndios, ocorrências policiais ou atendimento de desastres (trote telefônico). A lei visava estabelecer obrigação às operadoras de
telefonia de fornecer os dados dos proprietários de linhas telefônicas que acionem indevidamente os serviços de atendimento diante de mero ofício por qualquer órgão ou instutuição pública envolvida. A ACEL argumentou em favor da inviolabilidade da intimidade, vida privada horna e do sigilo das comunicações telefônicas (segundo estabelecido no artigo 5º, incisos X e XII da Constituição Federal), mencionando a indisponibilidade do direito à proteção de dados pessoais em sua argumentação.
Além disso, a ACEL havia ajuizado a ADI 5040/PI52, publicada em 2021 (não incluída em nosso relatório anterior), em que questionava a legalidade da Lei Nº 6.336/2013 do Estado do Piauí, que obrigava as empresas prestadoras de serviço de telefonia móvel pessoal a fornecerem, aos órgãos de segurança pública, dados relativos à localização de telefones celulares e cartões “SIM” que tivessem sido objeto de furto, roubo e latrocínio ou utilizados na prática de delitos. Entre seus argumentos, a ACEL também alegou grave ofensa à privacidade de seus clientes na hipótese de divulgação das informações pessoais, citando a Constituição e o direito fundamental à privacidade, além da inviolabilidade do sigilo telefônico.
Também, em 30/08/2019, o STF julgou a Ação Direta de Inconstitucionalidade número 4401/MG53, em que a Associação Brasileira das Prestadoras de Serviços de Telecomunicações Competititvas – TELCOMP, da qual a Algar faz parte, pediu a declaração de inconstitucionalidade dos artigos 1º a 4º da Lei 18.721/10, do Estado de Minas Gerais,que dispõe sobre o fornecimento de informações por concessionária de telefonia fixa e móvel para fins de segurança pública. A lei visava a obrigatoriedade das empresas “a fornecer informações sobre a localização de aparelhos de clientes à polícia judiciária do Estado, mediante solicitação, ressalvado o sigilo do conteúdo das ligações telefônicas.” (art. 1º, caput). A TELCOMP argumentou pela inconstitucionalidade das normas estaduais em função de usurpação de competência legislativa, pois a legislação sobre telecomunicações seria de competência privativa da União.
Por fim, para averiguação do parâmetro II, referente à contestação de pedidos abusivos, realizamos buscas exploratórias na base de dados do Tribunal de Justiça do Estado de São Paulo e no portal “Jusbrasil”, em ambos os casos pelos termos “Algar Telecom E sigilo E quebra” e por acórdãos publicados entre 01/08/2020 e 21/06/2021. Nas buscas, não foram localizadas quaisquer ações nesse sentido. Ressaltamos que a escolha pelo Jusbrasil como fonte secundária se dá pelo fato de agregar julgados de todos os tribunais estaduais brasileiros, em detrimento da busca em todos os tribunais individualmente.
Ações consideradas nas versões anteriores do Quem Defende Seus Dados, a Ação Direta de Inconstitucionalidade (ADI) 564254, da ACEL, não foram consideradas, já que não registraram movimentações.
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a Algar obteve meia estrela, pois atendeu a um parâmetro.
Não foi encontrada nenhuma participação da empresa em quaisquer consultas públicas ou como amicus curiae em processos relativos à aprovação de normas ou adoção de técnicas que aumentem a proteção conferida aos usuários dos seus serviços.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado atendido. Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários.
A Algar participou, por meio da Conexis do lançamento do Código de Boas Práticas de Proteção de Dados para o Setor de Telecomunicações, apresentado à Autoridade Nacional de Proteção de Dados.
Consideramos o parâmetro II não atendido. Não encontramos qualquer posicionamento público da Algar com relação à proteção de dados pessoais relativa às tecnologias de reconhecimento facial. Tampouco identificamos qualquer participação, em consultas públicas ou como amicus curiae, em processos da ANATEL ou do STF. A empresa, na fase de engajamento conosco, também não mostrou evidências de que não utilize a tecnologia em suas contratações.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a Algar obteve estrela vazia, pois atendeu aos parâmetros I, II e III.
O parâmetro I não foi considerado atendido. Embora a empresa publique relatório de sustentabilidade em seu portal, ele não foi considerado suficiente para preencher o critério por não ter informações a respeito de solicitações do governo (por exemplo, em relação a requerimentos de dados de usuários, ou bloqueios de conteúdos).
O parâmetro II foi considerado não atendido.
O parâmetro III foi considerado não atendido.
O parâmetro IV foi considerado não atendido. Não há informações, no Relatório de Transparência, acerca de pedidos de acessos a dados.
Por fim, o parâmetro V, relativo à publicação de Relatórios de Impacto à Proteção de Dados, não foi considerado atendido. Não foram localizados quaisquer documentos nesse sentido em nossas buscas.
CATEGORIA 6: Notificação do usuário
Resultado:
A Algar não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
BRISANET MÓVEL
CATEGORIA 1: Informações sobre a política de proteção de dados
Resultado:
Nesta categoria, a Brisanet Banda Larga obteve três quartos de estrela, tendo atendido 4 dos sete parâmetros analisados.
Quanto ao parâmetro I, consideramos o seguinte:
Sub-parâmetro (a): parcialmente atendido. Em sua Política de Privacidade, no item “Sobre os dados que coletamos”, a empresa informa diversos tipos de dados, cadastrais (nome completo, CPF, RG, e-mail, telefone residencial, celular, endereço, tipo de moradia, data de nascimento, estado civil, tipo de público) e de identificação digital (endereço IP e porta lógica de origem, versão do sistema operacional do dispositivo, geolocalização, registro de data e hora de ações realizadas, telas acessadas, ID de sessão, cookies) coletados. No entanto, não há discriminação completa de todos os dados coletados. Não sabemos, por exemplo, quais dados são coletados por meio de cookies quando da navegação do site da Brisanet.
Sub-parâmetro (b): parcialmente atendido. A Política apenas menciona que os dados “poderão ser coletados quando você os submete ou interage com nosso Site e serviços”. No entanto, a redação é excessivamente genérica, não sendo exaustiva em relação a quais dados são coletados em cada situação, de que forma se dá a coleta durante a própria prestação dos serviços da Brisanet, quais são as hipóteses apontadas no “dentre outros” da redação da própria política da empresa etc.
Sub-parâmetro (c):não atendido. A Política de Privacidade da Brisanet não faz referência à coleta de dados públicos dos titulares de dados.
Sub-parâmetro (d):não atendido. A Política de Privacidade da Brisanet não faz menção à coleta de dados por meio de terceiros, e tampouco lista as categorias ou, nominalmente, as organizações envolvidas neste tipo de coleta.
Sub-parâmetro (e):parcialmente atendido. A Política de Privacidade da Brisanet afirma que o tratamento de dados por terceiros em seu nome respeitará “as condições estipuladas [na Política] e as normas de segurança da informação, obrigatoriamente”. No entanto, não há listagem das formas de avaliação de terceiros empregadas pela operadora.
Quanto ao parâmetro II, consideramos o seguinte:
Sub-parâmetro (a): parcialmente atendido. Em sua Política de Privacidade, no item “Sobre os dados que coletamos”, a empresa informa as finalidades associadas aos tipos de dados (cadastrais ou de identificação digital), mas não há uma correlação estrita de quais dados são empregados para cada finalidade. Sendo assim, os titulares de dados não podem ter certeza de que o tratamento de todos os seus dados está ocorrendo com finalidades e bases legais legítimas.
No Contrato de Prestação de Serviços de Banda Larga da Brisanet, encontramos o seguinte:
“12.1.2 A CONTRATADA se compromete a utilizar os dados pessoais do CLIENTE e demais informações coletadas para as seguintes finalidades, com as quais o CLIENTE expressamente declara ter pleno conhecimento e concordância ao aderir ao presente contrato, seja através de TERMO DE CONTRATAÇÃO (presencial ou eletrônico) ou outras formas de adesão previstas no presente Contrato: (i) para cumprimento de obrigação legal ou regulatória, incluindo mas não se limitando à manutenção dos dados cadastrais e os Registros de Conexão do CLIENTE pelo prazo mínimo de 01 (um) ano, nos termos da Lei n.o 12.965/2014 (Marco Civil da Internet); e a manutenção da gravação das ligações do CLIENTE para o Centro de Atendimento ao Cliente disponibilizado pela CONTRATADA; (ii) para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis, decretos e regulamentos do Poder Público, ANATEL, ou qualquer outro órgão público, autarquia ou autoridade Federal, Estadual ou Municipal; (iii) para o fiel cumprimento ou execução de quaisquer direitos ou deveres inerentes ao presente contrato, ou de procedimentos preliminares relacionados ao presente contrato; (iv) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;(v) para a proteção do crédito (incluindo medidas de cobrança judiciais ou extrajudiciais); (vi) para garantir o cumprimento do presente contrato, incluindo o combate à fraude ou a prática de quaisquer ilícitos; (vii) para enviar ao CLIENTE qualquer comunicação ou notificação prevista no presente contrato; (viii) e para seu legítimo interesse.”
Muito embora haja descrição mais detalhada de finalidades (associadas às bases legais para tratamento de dados previstas na LGPD), o titular de dados ainda não dispõe de ferramentas para compreender quais de seus dados serão empregados em cada processo realizado pela Brisanet, especialmente nas hipóteses de legítimo interesse.
Já o Contrato de Adesão ao Serviço de Internet Móvel Pré Pago da Brisanet, único outro contrato disponível no site da Brisanet, não conta com similares disposições referentes à privacidade.
Sub-parâmetro (b): integralmente atendido. Contanto que as formas de utilização listadas na Política de Privacidade da Brisanet correspondam a todas suas formas de tratamento de dados, a listagem encontrada no item “Sobre os dados que coletamos” será considerada suficiente. Contudo, conforme acima, a Política não associa as formas de tratamento aos dados especificamente tratados pela Brisanet em cada processo, o que é necessário para a avaliação do titular sobre a legitimidade do processamento de seus dados.
Quanto ao parâmetro III, consideramos o seguinte:
Sub-parâmetro (a): parcialmente atendido. Embora a Política de Privacidade, no item “Como armazenamos seus dados pessoais e o registro de atividades”, traga uma listagem de prazos de retenção, identificamos alguns problemas em relação aos deveres informacionais ao titular de dados. Em primeiro lugar, o fundamento legal para o prazo mais extenso apresentado (“Enquanto durar a relação e não houver pedido de apagamento ou revogação e consentimento”) é indicado como o inciso II do artigo 9 da LGPD. O artigo citado apenas afirma a obrigação dos controladores de fornecer informações aos titulares a respeito da “forma e duração do tratamento, observados os segredos comercial e industrial” e, portanto, não serve como base legal para retenção dos dados. Dada a gravidade do tratamento que a retenção indefinida de dados pessoais implica, a indicação da base legal para tal é considerada, pelo Internetlab, como essencial para a verificação de legitimidade do tratamento. Outros prazos de retenção são citados sem, no entanto, a apresentação de uma correlação entre quais dados são utilizados com fundamento em cada base legal apontada.
Sub-parâmetro (b): não atendido. A empresa não informa em que ocasiões realiza a deleção de determinados tipos de dados (ex.: dados sensíveis), ou se o faz com regularidade.
Sub-parâmetro (c): parcialmente atendido. Conforme acima, a Política de Privacidade meramente cita algumas hipóteses de retenção de dados, sem correlacionar tais hipóteses com os tipos de dados detidos pela empresa.
Sub-parâmetro (d): parcialmente atendido. No item “Como protegemos seus dados e como você também poderá protegê-los”, a Política de Privacidade exemplifica, de maneira genérica, algumas medidas administrativas e técnicas de proteção dos dados. Não contamos, no entanto, com indicações dos procedimentos e tecnologias empregados em consonância com estas medidas.
Sub-parâmetro (e): não atendido. Não identificamos informações sobre as medidas específicas de segurança cibernética empregadas pela empresa. O Contrato de Prestação de Serviços de Banda Larga afirma, apenas, que, entre as obrigações da Brisanet está “3.2.4 […] zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados, inclusive registros de conexão, e informações do Assinante, empregando todos os meios e tecnologia necessários para tanto”.
Sub-parâmetro (f): não atendido. Não identificamos informações sobre as medidas específicas relativas ao controle de acessos empregadas pela empresa.
Sub-parâmetro (g): parcialmente atendido. No item “Como compartilhamos dados e informações”, a Política de Privacidade da Brisanet menciona algumas hipóteses de compartilhamento de dados de clientes com terceiros. No entanto, não há especificação de quais terceiros em específico recebem dados de titulares da Brisanet.
No Contrato de Prestação de Serviços de Banda Larga da Brisanet, encontramos o seguinte:
“12.3. A BRISANET e empresas do mesmo Grupo Econômico poderão, a qualquer tempo, consultar suas informações – incluindo seus dados pessoais, histórico de crédito, entre outros – no Cadastro Positivo, Órgãos Reguladores, Birôs de Crédito ou outras entidades que prestam serviço para fins de proteção ao crédito. Desse modo, O ASSINANTE autoriza que todo o conglomerado BRISANET consulte débitos e responsabilidades decorrentes de operações com características de crédito.
12.4 O CLIENTE reconhece e concorda que a PRESTADORA está sujeita à supervisão das autoridades e entidades regulatórias do Brasil, e, ainda, autoriza que as suas informações sejam divulgadas para estas autoridades e entidades regulatórias.”
O titular de dados, no entanto, não conta com informações sobre as circunstâncias em que os dados são compartilhados com tais entidades – e tampouco com um detalhamento de quais tipos de dados podem ser divulgados (e.g. “entre outros”). Já o Contrato de Adesão ao Serviço de Internet Móvel Pré Pago da Brisanet, único outro contrato disponível no site da Brisanet, não conta com similares disposições referentes ao compartilhamento com terceiros.
Sub-parâmetro (h): parcialmente atendido. No item “Como compartilhamos dados e informações”, a Política de Privacidade da Brisanet indica todas as finalidades de compartilhamento com os terceiros citados. No entanto, algumas das finalidades são excessivamente genéricas e não permitem ao usuário avaliar a legitimidade do compartilhamento (ex.: “com empresas parceiras e prestadores de serviços necessários à execução dos nossos serviços e funcionalidades”).
Sub-parâmetro (i): não atendido. A Política de Privacidade da Brisanet apenas menciona que alguns dados serão armazenamdos em nuvens localizadas fora do Brasil, sem, no entanto, fornecer detalhes sobre (i) o tipo de dado armazenado nestas circunstâncias; (ii) os países nos quais os dados podem ser armazenados; (iii) os responsáveis pelo fornecimento das nuvens utilizadas pela operadora.
Quanto ao parâmetro IV, consideramos o seguinte:
Sub-parâmetro (a): integralmente atendido. Na Política de Privacidade, no item “Canais de atendimento”, a empresa informa os canais de atendimento, horários e endereços que poderão ser acionados pelo titular de dados para reclamar seus direitos de acordo com a LGPD. Há, inclusive, um canal específico para contato com o Encarregado de Dados da empresa.
Sub-parâmetro (b): não atendido. Na Política de Privacidade, no item “Quais são os seus direitos e como exercê-los”, a Brisanet informa aos titulares de dados sobre alguns de seus direitos conforme a LGPD. O site não contém, no entanto, descrição clara e acessível de todos os direitos de titular conferidos pelos artigos 8º e 9º da LGPD, além de todos os direitos compreendidos nos incisos do artigo 18 da mesma lei. Os direitos citados só incluem, genericamente, “a limitação do uso de seus dados pessoais’, “manifestar sua oposição ou revogar o consentimento quanto ao uso [dos dados]”. e “solicitar a exclusão de seus dados pessoais”.
Além disso, o Contrato de Prestação de Servicos de Banda Larga da Brisanet traz a seguinte redação:
“12.6 Sem prejuízo do disposto nos itens acima, a privacidade e confidencialidade deixam de ser obrigatórias, se comprovado documentalmente que as informações relacionadas aos dados pessoais do CLIENTE e demais informações coletadas: (i) Estavam no domínio público na data celebração do presente Contrato; (ii) Tornaram-se partes do domínio público depois da data de celebração do presente contrato, por razões não atribuíveis à ação ou omissão das partes; (iii) Foram reveladas em razão de qualquer ordem, decreto, despacho, decisão ou regra emitida
por qualquer órgão judicial, legislativo ou executivo que imponha tal revelação. (iv) Foram reveladas em razão de solicitação da Agência Nacional de Telecomunicações – ANATEL, ou de qualquer outra autoridade investida em poderes para tal.”
Ressaltamos que, na condição de Controladora de Dados Pessoais, a Brisanet é obrigada ao cumprimento da legislação de proteção de dados, inclusive quando do tratamento de dados públicos – conforme especificado nos parágrafo 7º do artigo 7º da LGPD. A saber:
“§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º [dados feitos manifestamente públicos pelo titualr] deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.“
A inclusão da cláusula, portanto, é inadequada diante das obrigações da Brisanet em cumprir com os direitos de titular, induzindo-o ao erro quanto à possibilidade de reclamação de seus direitos.
Quanto ao parâmetro V, consideramos o seguinte: não atendido. No Centro de Privacidade da Brisanet, a empresa disponibiliza um espaço nomeado “Acesso os seus dados”, onde os usuários podem selecionar as opções de solicitação de dados para “Clientes Brisanet”, “Titulares não clientes ou ex-clientes” e “Colaboradores e ex-funcionários”. Enquanto a disponibilização das informações aos Clientes se dá, supostamente, por meio do aplicativo “Brisacliente”, as demais categorias de titular são redirecionadas ao preenchimento de um Formulário, que deve ser enviado fisicamente à sede da Brisanet no Ceará. O documento informa que a Brisanet responderá à solicitação em 15 (quinze) dias do recebimento do formulário – o que, contudo, não está de acordo com as normas dispostas na LGPD, que estabelecem que o Controlador terá um prazo de, no máximo, 15 dias diante da requisição do titular para fornecer a confirmação de existência ou acesso aos dados. Além disso, há exigência no Formulário de que o titular envie (i) cópia autenticada de documento de identificação que possua foto; e (ii) firma reconhecida por cartório na assinatura do Formulário.Tal exigência não encontra respaldo qualquer na legislação de proteção de dados, e configura uma barreira desnecessária para o exercício de direitos do titular de dados pessoais. Além disso, a tentativa de contato via email ao DPO para solicitação da confirmação de tratamento não foi respondida, nem no prazo legal de 15 (quinze) dias nem no prazo extendido de 1 (um) mês.
O parâmetro VI, que avalia se a empresa promete enviar notificações ao usuário quando da atualização de suas políticas de privacidade, foi considerado não atendido. Em sua Política de Privacidade, a empresa afirma explicitamente que “Você reconhece o nosso direito de alterar o teor desta Política a qualquer momento, conforme a finalidade ou necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, cabendo a Você verificá-la sempre que efetuar o acesso ao nosso Site ou utilizar nossos serviços e funcionalidades.” O trecho prossegue informando ao titular de dados que uma notificação apenas será enviada quando das “atualizações neste documento e que demandem nova coleta de consentimento” , por meio dos “canais de contato que Você informar.”
Por fim, o parâmetro VII, referente à acessibilidade das informações sobre privacidade e proteção de dados, foi considerado parcialmente atendido. No rodapé da página inicial do site da Brisanet, há o link para a Central de Privacidade da Empresa. As informações que constam no Portal de Privacidade são bastante claras e de fácil acesso ao cliente.
No entanto, não há disponibilização pública do contrato de prestação de serviços de internet banda larga, e a disposição de tais informações no contrato seria recomendável para que estas pudessem ser acessadas por todos os clientes, consentidas legalmente por eles, e pormenorizadas de acordo com cada tipo de serviço contratado. Obtivemos acesso ao contrato de prestação de serviços de banda larga da Brisanet apenas diante de solicitação direta de disponibilização pelo atendimento ao cliente (via Whatsapp).
CATEGORIA 2: Protocolos de entrega de dados para investigações
Resultado:
Nesta categoria, a Brisanet obteve estrela vazia, não tendo cumprido nenhum dos parâmetros.
O parâmetro I, referente à identificação das autoridades competentes para requisitar dados, foi considerado não atendido. Em sua Política de Privacidade, a empresa menciona somente genericamente o compartilhamento com autoridades públicas “sempre que houver determinação legal, requerimento, requisição ou ordem judicial.” Nenhuma outra política divulgada e relacionada à entrega de dados às autoridades foi identificado no Centro de Privacidade da Brisanet.
No Contrato de Prestação de Serviços de Banda Larga da Brisanet, encontramos o seguinte:
“12.1.4 A CONTRATADA apenas tornará disponíveis os dados cadastrais e os registros de conexão, incorrendo em suspensão de sigilo de telecomunicações, quando solicitado formalmente pela autoridade judiciária ou outra legalmente investida desses poderes, e quando taxativamente determinada a apresentação de informações relativas ao CLIENTE.”
Embora a redação destine-se a estabelecer as hipóteses de compartilhamento de dados com as autoridades, a Brisanet não faz menção à necessidade estrita de ordem judicial para a quebra de sigilo, e tampouco descreve as hipóteses legais específicas que autorizariam o compartilhamento de dados sem ordem judicial.
O parâmetro II, referente à identificação das autoridades competentes e dos crimes no âmbito dos quais a requisição ocorrer, também foi considerado não atendido. Não localizamos essas informações nos contratos ou documentos da Brisanet.
O parâmetro III, referente ao oferecimento de informações sobre dados de geolocalização, também foi considerado não atendido. Não localizamos essas informações nos contratos ou documentos da Brisanet.
O parâmetro IV, referente à promessa de fornecer registros de conexão apenas mediante ordem judicial estritamente nos termos do Marco Civil, também foi considerado não atendido. Não localizamos essas informações nos contratos ou documentos da Brisanet.
Por fim, o parâmetro V, relativo à existência de protocolos específicos sobre entrega de dados ao Estado, foi considerado não atendido. Não foi encontrada menção ao tema nos documentos analisados da Brisanet.
CATEGORIA 3: Defesa dos usuários no Judiciário
Resultado:
Nesta categoria, a Brisanet Banda Larga obteve estrela cheia, pois atendeu aos dois parâmetros analisados.
Quanto ao parâmetro I, referente à contestação de legislação, realizamos buscas exploratórias nos sites do Supremo Tribunal Federal e do Superior Tribunal de Justiça por processos em que a empresa fosse parte, buscando ações envolvendo a contestação de legislação que viola princípios de privacidade e proteção de dados. O parâmetro foi considerado atendido.
Em 30/08/2019, o STF julgou a Ação Direta de Inconstitucionalidade número 4401/MG, em que a Associação Brasileira das Prestadoras de Serviços de Telecomunicações Competititvas – TELCOMP, da qual a Brisanet faz parte, pediu a declaração de inconstitucionalidade dos artigos 1º a 4º da Lei 18.721/10, do Estado de Minas Gerais,que dispõe sobre o fornecimento de informações por concessionária de telefonia fixa e móvel para fins de segurança pública. A lei visava a obrigatoriedade das empresas “a fornecer informações sobre a localização de aparelhos de clientes à polícia judiciária do Estado, mediante solicitação, ressalvado o sigilo do conteúdo das ligações telefônicas.” (art. 1º, caput). A TELCOMP argumentou pela inconstitucionalidade das normas estaduais em função de usurpação de competência legislativa, pois a legislação sobre telecomunicações seria de competência privativa da União.
Por fim, para averiguação do parâmetro II, referente à contestação de pedidos abusivos, realizamos buscas exploratórias na base de dados do Tribunal de Justiça do Estado do Ceará pelo nome da Parte “Brisanet” e no portal “Jusbrasil”, pelos termos “Brisanet S/A” E “sigilo” E “quebra” e por sentenças ou acórdãos com data de distribuição entre 31/06/2021 e 19/10/2022. Nas buscas, não foram localizadas quaisquer ações de acesso público envolvendo a solicitação de quebra de sigilo de clientes da Brisanet.
Encontramos, no entanto, ao menos uma ação em que a Brisanet é intimada a responder ao Minisério Público do Estado do Ceará em Carta Precatória Criminal e uma ação relacionada à Proteção de Dados Pessoais. Todavia, nenhuma das peças processuais em ambas as ações estão disponíveis ao público.
Não obstante, por meio da busca no Jusbrasil, identificamos ao menos uma ação em que a Brisanet recusa um pedido de quebra de sigilo, baseando-se nos termos do Marco Civil da Internet:
“[A] provedora BRISANET SERVIÇOS DE TELECOMUNICAÇÕES S.A respondeu ao ofício expedido pelo Juízo da 10ª Vara do Trabalho nos seguintes termos:
‘Dessa forma, a Brisanet Serviços de Telecomunicações S/A, informa que não realiza a guarda de registro das conexões WI-FI dos clientes, com base no artigo 14 da lei 12.965.
[…]
Sendo assim, não possuímos o registro de conexões de quem utilizou ou não o WI-FI do cliente. Pois conforme já mencionado acima, o provedor de conexão (BRISANET) somente realiza buscas mediante o acesso de determinado IP. Logo, cabe ao provedor de aplicação armazenar os registros de acesso a aplicações de internet, que consistem no conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP. Com a informação do provedor de aplicação, qual seja, a hora, o segundo, o dia e o IP que foi utilizado para acessar determinado site, o provedor de conexão conseguirá localizar aquele determinado usuário.”
Ressaltamos que a escolha pelo Jusbrasil como fonte secundária se dá pelo fato de agregar julgados de todos os tribunais estaduais brasileiros, em detrimento da busca em todos os tribunais individualmente.
Nessa categoria, convidamos as empresas, nessa fase de envio e discussão dos resultados preliminares do relatório, a compartilharem conosco ações judiciais e administrativas em que tenham participado e que possam ser consideradas para essa categoria. Ressaltamos, também, que processos que ocorram sob segredo de justiça ou cujas informações possam violar a privacidade de seus usuários poderão ser compartilhados com seus números, nomes, autoridades solicitantes e outros dados potencialmente pessoais ou sensíveis suprimidos, de forma somente a comprovar, para nós, a atuação da empresa na defesa judicial ou administrativa de seus clientes, durante o período analisado.
CATEGORIA 4: Postura pública pró-privacidade
Resultado:
Nesta categoria, a Brisanet obteve estrela vazia, pois não atendeu aos parâmetros.
O parâmetro I, relativo ao posicionamento em geral da empresa, foi considerado não atendido. Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido.
Também consideramos o parâmetro IInão atendido. Não encontramos qualquer posicionamento público da Brisanet com relação à proteção de dados pessoais relativa às tecnologias de reconhecimento facial. Tampouco identificamos qualquer participação, em consultas públicas ou como amicus curiae, em processos da ANATEL ou do STF. Uma matéria redigida pelo Idec, no entanto, cita a Brisanet como uma das responsáveis pela instalação de câmeras de reconhecimento dacial na Paraíba, em 2019:
“Na Paraíba, houve teste durante aquele que é considerado o “maior São João do mundo”, na cidade de Campina Grande. A Medow Entertainment, empresa organizadora do evento, contratou a plataforma digital Facewatch, que usou câmeras de reconhecimento facial em todas as entradas do Parque do Povo durante os 31 dias de festa. A operadora Brisanet também participou da operação. Foram instaladas 265 câmeras capazes de encontrar uma pessoa com um zoom de até dois quilômetros de distância, noticiou a Secretaria de Segurança Pública. Soldado da Polícia Militar da Paraíba, Jimmy Felipe, também Gerente de Projetos do órgão, disse à reportagem que mais de 800 mil rostos foram gravados. Desse total, “300 pessoas foram cadastradas. Delas, 12 foram presas. Uma só era irmã gêmea [de um procurado], o que mostra que o sistema foi suficiente. Não foram feitos armazenamentos de pessoas que não estavam nessa base de dados ou que não tinham nenhum tipo de envolvimento, nenhuma busca na polícia”, afirma. Felipe acrescenta que “os dados que não tiveram correlação aos procurados foram descartados após 24h”.
Também nessa categoria, convidamos as empresas, nessa fase de envio e discussão dos resultados preliminares do relatório, a compartilharem conosco ações judiciais ou posicionamentos e ações reportadas na mídia em que tenham atuado na promoção da proteção dos dados pessoais, inclusive com respeito ao reconheciemnto facial.
CATEGORIA 5: Relatórios de transparência e de impacto à proteção de dados
Resultado:
Nesta categoria, a Brisanet obteve estrela vazia, pois não atendeu a nenhum dos parâmetros.
Os parâmetros I ao IV, relativos ao Relatório de Transparência, não foram atendidos. Não foram localizados documentos desta natureza da Brisanet, e o Relatório de Sustentabilidade da Brisanet não traz informações relevantes sobre privacidade e proteção de dados ou sobre os pedidos de autoridades públicas em relação a dados pessoais. Além disso, o Relatório de Sustentabilidade possui link para as políticas da empresa, listando a existência de uma “Política de Informação” que não é disponibilizada no site.
O parâmetro V, por sua vez, relativo à publicação de Relatórios de Impacto à Proteção de Dados, também foi considerado não atendido. Não foram localizados quaisquer documentos nesse sentido em nossas buscas.
CATEGORIA 6: Notificação do usuário
Resultado:
A Brisanet não obteve estrela, pois não há menção à possibilidade de notificação do usuário em qualquer um dos documentos analisados.
FAQ
Como o InternetLab financia suas atividades?
O InternetLab é uma entidade sem fins lucrativos. Não atuamos como consultoria ou escritório de advocacia e só prestamos serviços se estiverem afinados com a nossa missão, i.e., a produção de pesquisas na área de direito e tecnologia para incidência em políticas públicas. Desta forma, nossas atividades são financiadas por fundações, organizações do terceiro setor, empresas e pessoas físicas. Em todos esses casos incidem duas condições: a independência na elaboração e execução dos projetos e a liberdade de manifestar qualquer tipo de análise e postura institucional.
No ano de 2020, 70,5% dos nossos recursos vieram de fundações e organizações do terceiro setor internacionais, 19,7%, do setor privado e 9,8% de agências de fomento.
Como o projeto “QDSD” foi financiado?
O projeto foi financiado com recursos doados pela Fundação Ford.
Quem trabalhou no “QDSD”?
Esta é a equipe do InternetLab envolvida na edição de 2020 do QDSD: Francisco Brito Cruz (diretor), Bárbara Simão (coordenadora), Laura Matta (pesquisadora) e Vitor Vilanova (estagiário).
Da EFF, trabalharam no projeto Veridiana Alimonti (Latin American Senior Policy Analyst) e Katitza Rodríguez (IPolicy Director for Global Privacy).
O projeto gráfico do site é de autoria de Maria Claudia Levy, da GOMA Oficina; desenvolvimento e design por Sérgio e Bruno Berkenbrock, do MirrorLab.
O projeto se encerrou com a divulgação dos resultados?
Não. O QDSD propõe uma avaliação periódica, realizada anualmente. A cada nova versão revisamos a metodologia e submetemos as práticas e políticas das empresas a uma nova avaliação, zelando para que reflitam as leis vigentes e compreendam boas práticas que estão ao alcance das empresas.
Recomendações para a próxima edição
O InternetLab reconhece, como tendência, o aperfeiçoamento das políticas de proteção de dados e de privacidade das empresas. Indica, no entanto, a importância de que sejam claras, precisas, acessíveis e completas. Especificamente quanto ao compartilhamento, devem estar claras ao titular as hipóteses em que ocorrem e as medidas tomadas, nesses casos, para prevenir eventos danosos, tais como a comprovação de garantias de cumprimento dos direitos do titular pelo terceiro.
Diante dos resultados deste ano, o InternetLab incentiva ainda as empresas a aperfeiçoarem seus canais de exercício de direitos pelos titulares de dados, de maneira a facilitar acesso integral às informações pertinentes. É recomendável, além disso, que as empresas adotem práticas de notificação proativa do usuário diante de alterações das políticas de privacidade.
O InternetLab estimula as empresas a elaborarem protocolos de entrega de dados para investigações, que informem usuários sobre todas as hipóteses de compartilhamento de dados cadastrais, dados de localização e registros de conexão para esses fins, e a forma como lidam com ordens judiciais e requisições administrativas para entrega de dados.
O InternetLab também encoraja as empresas a utilizarem as ‘salas de imprensa’ em seus websites para elencarem suas ações em defesa da privacidade e proteção de dados no Judiciário e em debates públicos. É fundamental que empresas assumam uma postura de transparência ativa em relação à colaboração e compartilhamento de dados com o governo, atuando para que o tratamento excepcional seja limitado no tempo, proporcional e efetivamente compatível com finalidades de interesse público. Ainda, o InternetLab desestimula o uso de reconhecimento facial por parte das empresas sem consideração dos riscos e impactos que a tecnologia pode vir a ter ao usuário, e, em especial, quando utilizado sem que o usuário tenha opção de consentimento.
Por fim, também incentiva as empresas a publicarem relatórios de transparência exaustivos, a publicarem relatórios de impacto à proteção de dados, e a adotarem práticas de notificação de usuário diante de solicitações de dados por autoridades de investigação.