/Resultados

VER POR:

	Informa sobre tratamento de dados	Informa sobre condições de entrega de dados a agentes do Estado	Defende a privacidade de usuários no Judiciário	Adota posicionamento público pró privacidade	Publica relatório de transparência sobre pedidos de dados	Notifica usuários sobre pedidos de dados

	Informa sobre tratamento de dados	Informa sobre condições de entrega de dados a agentes do Estado	Defende a privacidade de usuários no Judiciário	Adota posicionamento público pró privacidade	Publica relatório de transparência sobre pedidos de dados	Notifica usuários sobre pedidos de dados

Ver tabela de resultados da pesquisa anterior

CLARO

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Claro obteve estrela cheia, pois atendeu completamente aos parâmetros de I a V e parcialmente os parâmetros VI e VII, o que faz com que tenha atendido ao equivalente a 6 parâmetros.

No que diz respeito ao parâmetro I, os contratos de prestação de serviço móvel da empresa tratam da coleta dados cadastrais e complementares, informam acerca da coleta de dados de perfil de consumo, localização, comportamento e uso do serviço, o que é repetido na Política de Privacidade. Ainda que informe todos os dados coletados, a empresa não traz informações específicas sobre as hipóteses de coleta, nem informa sobre registros de conexão, havendo espaço para aperfeiçoamento.

A Política de Privacidade da América Móvil traz, também, diretrizes para a proteção de dados dos funcionários e clientes que devem ser seguidas pelas subsidiárias, incluindo a coleta de dados mediante consentimento e de acordo com a legislação aplicável.

Contrato de Serviço Móvel Pessoal Pós-Pago

13.7. Uma vez solicitada pelo ASSINANTE a Portabilidade do Código de Acesso e atendidos os requisitos e as condições comerciais estabelecidas para tal, o ASSINANTE autoriza, desde já, o fornecimento de seus dados cadastrais para a “Entidade Administradora” e para a “Prestadora Doadora”, assim definidas pela ANATEL, a fim de permitir a conclusão, ou não, de sua solicitação de Portabilidade.

15.1 O ASSINANTE é responsável, nos termos da lei, pela veracidade das informações fornecidas e se obriga a manter sempre atualizados os seus dados cadastrais, bem como a informar qualquer modificação verificada, especialmente o seu endereço para envio de faturas e correspondências, de forma a não dar causa a qualquer dificuldade no que concerne à comunicação entre as Partes. A não atualização destes dados e a consequente não localização do ASSINANTE para contato poderá ocasionar a suspensão do Contrato e dos serviços prestados. Ademais o ASSINANTE reconhece à CLARO o direito de obter de terceiros as referências que considerar necessárias para fins do presente Contrato, observadas as normas pertinentes.

15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas.

15.13. O ASSINANTE concorda com a coleta de seus dados cadastrais, por força deste Contrato, e dos dados pessoais complementares, assim como o uso dos referidos dados, somente pela CLARO, de maneira que não se permita sua identificação. O ASSINANTE poderá rever a autorização concedida, a qualquer tempo, por meio de contato com a Central de Atendimento da CLARO.

Política de privacidade:

A Claro poderá coletar informações do perfil de consumo de seus usuários, tais como localização, recursos e equipamentos utilizados, navegação, ofertas contratadas ou pesquisadas, informações fornecidas durante a utilização, frequência e duração das suas atividades, bem como outras informações do comportamento do usuário na utilização dos serviços da Claro.

Quanto ao parâmetro II, no contrato e na Política de Privacidade a empresa apresenta informações sobre o uso dos dados e sua finalidade. Como mencionado acima, a Política de Privacidade da América Móvil traz diretrizes para a proteção de dados dos funcionários e clientes, que devem ser seguidas pelas subsidiárias, incluindo finalidades e usos desses dados.

Contrato de Serviço Móvel Pessoal Pós-Pago

15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas.

Política de Privacidade:

O processamento e utilização das informações coletadas ocorrerá para uso interno da CLARO BRASIL com a finalidade de aprimorar a experiência de utilização dos Usuários, promover a melhoria do desempenho da rede, expandir área de cobertura, personalizar ofertas de produtos e serviços, enviar alertas ou notificações, dentre outros benefícios ou vantagens comerciais que possam ser obtidas. Poderemos utilizar os Dados Pessoais para identificar e disponibilizar conteúdo relevante para os Usuários e enviar, por exemplo, informações sobre conta, consumo, pacote, promoções etc.

No que se refere ao parâmetro III, a Política de Privacidade da Claro traz informações detalhadas sobre onde são armazenados os dados e por quanto tempo. Além disso, quanto aos dados de consumo, localização, comportamento e uso do serviço, a empresa afirma que armazena de forma anônima e agregada. A empresa prevê ainda hipóteses em que o usuário pode requerer a exclusão dos dados.

Há espaço, ainda assim, para aperfeiçoamento da disciplina da exclusão dos dados, na ausência de requisição do usuário, por exemplo, por extinção do prazo de guarda obrigatória. A Política de Privacidade da América Móvil traz também diretrizes para a exclusão de dados. Neste documento, determina-se a exclusão, quando os dados deixarem de ser necessários para os fins que motivaram a coleta. Vale ressaltar, todavia, que essa política não está disponível no site da Claro, não sendo facilmente acessível aos clientes.

Contrato de Serviço Móvel Pessoal Pós-Pago

8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: n) exclusão definitiva de seus dados pessoais que tiver fornecido a determinada aplicação de internet.

Política de Privacidade:

O Usuário poderá solicitar a exclusão de seus Dados Pessoais e a CLARO adotará, mediante tempo e esforços possíveis e razoáveis, as medidas cabíveis para atender à solicitação. Guarda de registros de conexão e de aplicação. Por força do contrato firmado e de acordo com o(s) serviço(s) contratado(s) pelo Assinante, a CLARO armazenará os dados cadastrais e registros de utilização dos serviços, nos termos exigidos pela legislação vigente, observando inclusive as limitações aplicáveis a cada modalidade de serviço. Na provisão de conexão à internet a Claro armazenará os registros de conexão pelo prazo de 01 (um) ano, e não guardará os registros de acesso a aplicações de internet que permitam identificar, de forma individualizada, o conteúdo acessado. Na provisão de aplicação de internet, nos aplicativos próprios (da Claro) os respectivos registros de acesso a aplicações serão armazenados por 06 meses (só App próprio). Dados cadastrais e de faturamento serão armazenados no mínimo por 5 anos. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL.

Sobre o parâmetro IV, em sua Política de Privacidade, a Claro informa os padrões, práticas e medidas de segurança que adota, incluindo hipóteses de anonimização que também são trazidas nos contratos. No Código de Ética da América Móvil (p. 17-19), há informações sobre proteção de dados, como princípios, parâmetros e diretrizes a serem seguidos pelos funcionários da empresa para a segurança e proteção dos dados dos clientes e para a privacidade de suas comunicações. A Empresa tem ainda uma sessão no site sobre segurança da informação (https://www.claro.com.br/celular/seguranca-da-informacao).

Também no Relatório de Sustentabilidade da América Móvil, há informações sobre segurança da informação e proteção e privacidade de dados (p. 29-34 no relatório de 2017, e p. 52-58 no relatório de 2018). A Política de Privacidade da América Móvil traz diretrizes para a proteção de dados. Vale ressaltar, todavia, que essa política não está disponível no site da Claro, mas só é encontrada através do site da América Móvil ou seu relatório de sustentabilidade, não sendo completamente acessível e clara aos clientes.

15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas.

Política de Privacidade: O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. Guarda de registros de conexão e de aplicação. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL. Segurança no acesso e no armazenamento dos dados. A Claro utiliza soluções e medidas técnicas de segurança apropriadas a garantir a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes, compatíveis com os padrões internacionais e ao uso de boas práticas. Utiliza ainda medidas de segurança apropriadas aos riscos, como contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado. Somente pessoas autorizadas tem acesso às informações armazenadas. A permissão e privilégios de acesso exclusivo é definida pela Claro de acordo com as responsabilidades envolvidas. As informações são agrupadas em clusters e segmentos, sem permitir a associação única e individual do usuário.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, o contrato e a política de privacidade da empresa trazem informações sobre hipóteses e formas pelas quais compartilha dados dos clientes, assim como as finalidades específicas de cada tipo de compartilhamento. A empresa tem ainda uma seção sobre segurança da informação no site, na qual afirma que informações pessoais não são compartilhadas sem autorização. A Política de Privacidade da América Móvil traz, também, diretrizes para transferência e compartilhamento de dados pessoais. O item foi considerado, por isso, atendido.

Contrato de Serviço Móvel Pessoal Pós-Pago

8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: m) não fornecimento à terceiros de seus dados pessoais, inclusive registro de conexão, e de acesso a aplicações de internet, salvo mediante livre consentimento.

15.6 Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Contrato de Serviço Móvel Pessoal Pré-pago

15.6 Todas as informações do cadastro do ASSINANTE são confidenciais são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços.

Política de Privacidade:

O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário. O consentimento para o compartilhamento de informações individualizadas pode ser revisto, a qualquer tempo, por meio do aplicativo ou site de autoatendimento “Minha Claro” mediante a uso de senha pessoal e intransferível.

Sobre o parâmetro VI, considera-se que foi parcialmente atendido. A Política de Privacidade da Claro estabelece especificamente que “o Usuário poderá solicitar a exclusão de seus Dados Pessoais”, mas não menciona especificamente os direitos dos consumidores sobre seus dados sob a legislação vigente (como o de retificação e apagamento), nem fornece meios específicos para o exercício de tais direitos.

Finalmente, quanto ao parâmetro VII, considera-se também que foi parcialmente atendido. Isso porque o site da empresa dispõe de uma seção sobre segurança da informação (https://www.claro.com.br/celular/seguranca-da-informacao), que contém algumas das informações relevantes sobre privacidade e proteção de dados. Além disso, enaltecemos a facilidade para achar os contratos no site da empresa, disponíveis no rodapé da página inicial (“regulatório”), assim como a política de privacidade.

No entanto, como não encontramos quaisquer ambientes no site da Claro, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações completas sobre privacidade ou proteção de dados, como as contidas nos contratos acima mencionados, o parâmetro foi considerado somente parcialmente atendido.

Fora isso, a empresa poderia aprimorar a acessibilidade a outros documentos como os relatórios de sustentabilidade, o código de ética e política de privacidade do grupo América Móvil, que estão apenas em espanhol e são encontrados apenas no site da holding.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Claro obteve ¼ de estrela, pois atendeu apenas ao parâmetro I e, parcialmente, aos parâmetros II e VI.

Em sua política de privacidade, a empresa afirma que apenas suspende o sigilo e fornece informações individualizadas, na forma da lei e por ordem judicial, atendendo assim ao primeiro parâmetro. A política de privacidade da América Móvil reforça a diretriz de respeito à legislação vigente para fornecimento de dados. Também em seus contratos, a empresa prevê entre os direitos dos assinantes a inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei.

Contrato de Serviço Móvel Pessoal Pós-Pago

“8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: h) inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; i) inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; j) inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial

Política de Privacidade:

A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário.

Deve-se notar que a diferenciação entre o tratamento de dados cadastrais, dados de geolocalização e registros de conexão permanece incipiente. Especificamente quanto aos dados cadastrais (II, III e IV), a empresa traz no contrato de prestação do serviço móvel pessoal na modalidade pré-pago, na cláusula 15.6, a determinação, segundo a qual fornece dados cadastrais à autoridade judicial. Neste caso, não menciona a possibilidade de requisição por autoridades administrativas prevista em alguns diplomas normativos. Por outro lado, no contrato para a modalidade pós-paga, a empresa estabelece a possibilidade de fornecimento mediante determinação de “autoridade pública”, sem mencionar competência, especificar as autoridades assim consideradas ou as hipóteses de cabimento.

Pós-pago

15.6 Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços.

Pré-Pago

15.6 Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços.

Consideramos, por ora, parcialmente atendido o parâmetro II, já que em ambas as modalidades não há informações exaustivas sobre as circunstâncias nas quais se concede o acesso. No que se refere a dados cadastrais, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo

Quanto ao parâmetro V, a companhia não oferece informações ou referências legais claras sobre as circunstâncias nas quais fornece dados de geolocalização às autoridades judiciais ou administrativas;

Quanto ao parâmetro VI, em seus contratos, entre os direitos dos assinantes, a empresa assegura ao assinante o direito ao não fornecimento terceiros de seus dados pessoais, inclusive registros de conexão e de acesso a aplicações de internet, salvo mediante livre consentimento. Não aborda, no entanto, a possibilidade, determinada por lei, de acesso mediante ordem judicial, falhando em esclarecer ao usuário as hipóteses nas quais pode ter sua privacidade comprometida, além de não especificar qual seu entendimento quanto ao que constituem os registros de conexão. Por isso, consideramos parcialmente atendido este parâmetro.

8.1 São assegurados ao Assinante os direitos e deveres estabelecidos neste Contrato, e no Regulamento SMP e na Lei no 12.965/2014, tais como:

d) inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; e) inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; f) inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; (…)i) não fornecimento à terceiros de seus dados pessoais, inclusive registro de conexão, e de acesso a aplicações de internet, salvo mediante livre consentimento.

Como já fizemos notar anteriormente, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet.

Como antecipado desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicos seus procedimentos e interpretações. Assim, é importante que a Claro informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Claro obteve estrela cheia, pois atendeu a ambos parâmetros.

Quanto ao parâmetro I, realizamos buscas exploratórias e localizamos a interposição de embargos de declaração, pela Claro, no escopo da Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL já foi considerada na última edição do QDSD e não registrou movimentações, e não foi, portanto, levada em consideração nesta.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e não foram encontrados casos relacionados a ações penais. A pesquisa retornou, no entanto, um caso cível para fornecimento de portas lógicas, cuja argumentação não tocava a questão de privacidade (AI nº 2214824-53.2017.8.26.0000). Mais relevante nesta categoria é uma apelação em Mandado de segurança (1002366-10.2017.8.26.0451), na qual a empresa questionou notificações expedidas pela Delegacia Regional Tributária de Campinas, requisitando dados cadastrais de usuários a partir dos endereços IP fornecidos, argumentando a violação de garantias constitucionais da privacidade e de proteção ao sigilo de dados.

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Claro não obteve estrela nessa categoria.

Em algumas oportunidades ao longo do período compreendido nesta pesquisa, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Claro obteve estrela vazia, pois não atendeu aos parâmetros. O Relatório de Sustentabilidade do grupo América Móvil, apesar de trazer informações e parâmetros sobre proteção de dados e privacidade, não publica estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Claro obteve estrela vazia, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

Ver a tabela

NET

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A NET obteve estrela cheia, pois atendeu integralmente aos parâmetros de I a IV e parcialmente os parâmetros V e VI, de forma a totalizar o equivalente a 5 parâmetros.

Quanto ao parâmetro I, a Política de Privacidade da empresa traz algumas informações sobre a coleta de dados do perfil de consumo do usuário e informações de uso. A Política de Privacidade da América Móvil traz, também, diretrizes para a proteção de dados dos funcionários e clientes, incluindo disposições sobre a coleta de dados, mediante consentimento e de acordo com a legislação aplicável. Já o contrato faz apenas referência a dispositivos da ANATEL que enunciam direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

Política de Privacidade:

A Claro poderá coletar informações do perfil de consumo de seus usuários, tais como localização, recursos e equipamentos utilizados, navegação, ofertas contratadas ou pesquisadas, informações fornecidas durante a utilização, frequência e duração das suas atividades, bem como outras informações do comportamento do usuário na utilização dos serviços da Claro.

Ainda que o contrato não traga informações sobre tratamento de dados pessoais de clientes, foi possível encontrá-las em outros documentos. Por isso, o parâmetro foi considerado atendido. Cabe, no entanto, observar que embora a Política de Privacidade albergue todas as previsões, ela determina que os contratos prevejam regras específicas aplicáveis a cada serviço. No caso da NET, isso não foi observado.

Quanto ao parâmetro II, na Política de Privacidade, a empresa apresenta informações sobre o uso dos dados e sua finalidade. A Política de Privacidade da América Móvil prevê ainda diretrizes para a tratamento de dados, incluindo finalidades e usos desses dados. O item foi considerado atendido.

Política de Privacidade:

O processamento e utilização das informações coletadas ocorrerá para uso interno da CLARO BRASIL com a finalidade de aprimorar a experiência de utilização dos Usuários, promover a melhoria do desempenho da rede, expandir área de cobertura, personalizar ofertas de produtos e serviços, enviar alertas ou notificações, dentre outros benefícios ou vantagens comerciais que possam ser obtidas. Poderemos utilizar os Dados Pessoais para identificar e disponibilizar conteúdo relevante para os Usuários e enviar, por exemplo, informações sobre conta, consumo, pacote, promoções etc.

No que se refere ao parâmetro III, a Política de Privacidade da NET traz informações detalhadas sobre onde são armazenados os dados e por quanto tempo. Além disso, quanto aos dados de consumo, localização, comportamento e uso dos serviços, a empresa afirma que armazena de forma anônima e agregada. A empresa prevê ainda hipóteses em que o usuário pode requerer a exclusão dos dados. Foi, por isso, considerado atendido.

Há espaço, ainda assim, para aperfeiçoamento da disciplina da exclusão dos dados, na ausência de requisição do usuário, por exemplo, por extinção do prazo de guarda obrigatória. A Política de Privacidade da América Móvil traz também diretrizes para a exclusão de dados. Neste documento, determina-se a exclusão, quando os dados deixarem de ser necessários para os fins que motivaram a coleta. Vale ressaltar, todavia, que essa política não está disponível no site da NET, não sendo facilmente acessível aos clientes.

Política de Privacidade:

O Usuário poderá solicitar a exclusão de seus Dados Pessoais e a CLARO adotará, mediante tempo e esforços possíveis e razoáveis, as medidas cabíveis para atender à solicitação. Guarda de registros de conexão e de aplicação. Por força do contrato firmado e de acordo com o(s) serviço(s) contratado(s) pelo Assinante, a CLARO armazenará os dados cadastrais e registros de utilização dos serviços, nos termos exigidos pela legislação vigente, observando inclusive as limitações aplicáveis a cada modalidade de serviço. Na provisão de conexão à internet a Claro armazenará os registros de conexão pelo prazo de 01 (um) ano, e não guardará os registros de acesso a aplicações de internet que permitam identificar, de forma individualizada, o conteúdo acessado. Na provisão de aplicação de internet, nos aplicativos próprios (da Claro) os respectivos registros de acesso a aplicações serão armazenados por 06 meses (só App próprio). Dados cadastrais e de faturamento serão armazenados no mínimo por 5 anos. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL.

Sobre o parâmetro IV, em sua Política de Privacidade, a NET informa os padrões, práticas e medidas de segurança que adota, incluindo hipóteses de anonimização. No Código de Ética da América Móvil (p. 17-19), há informações sobre proteção de dados, como princípios, parâmetros e diretrizes a serem seguidos para a segurança e proteção dos dados dos clientes e para a privacidade de suas comunicações.

Também no Relatório de Sustentabilidade e na Política de Privacidade da América Móvil, há informações sobre segurança da informação, proteção e privacidade de dados (p. 29-34 no relatório de 2017, e p. 52-58 no relatório de 2018). O item foi considerado, por isso, atendido.

Política de Privacidade

O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas.

Segurança no acesso e no armazenamento dos dados. A Claro utiliza soluções e medidas técnicas de segurança apropriadas a garantir a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes, compatíveis com os padrões internacionais e ao uso de boas práticas. Utiliza ainda medidas de segurança apropriadas aos riscos, como contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado. Somente pessoas autorizadas tem acesso às informações armazenadas. A permissão e privilégios de acesso exclusivo é definida pela Claro de acordo com as responsabilidades envolvidas.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, a política de privacidade da empresa traz algumas informações sobre hipóteses e formas pelas quais compartilha dados dos clientes. A empresa tem ainda uma seção sobre segurança da informação no site, na qual afirma que informações pessoais não são compartilhadas sem autorização. A Política de Privacidade da América Móvil traz, também, algumas diretrizes genéricas para transferência e compartilhamento de dados pessoais. No entanto, os documentos mencionados oferecem somente diretrizes gerais, não especificando com quais parceiros ou empresas do grupo econômico os dados são compartilhados, qual a finalidade de tais compartilhamentos etc. Por isso, o item foi considerado parcialmente atendido.

Política de Privacidade

O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas.

A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário. O consentimento para o compartilhamento de informações individualizadas pode ser revisto, a qualquer tempo, por meio do aplicativo ou site de autoatendimento “Minha Claro” mediante a uso de senha pessoal e intransferível.

Sobre o parâmetro VI, considera-se que foi parcialmente atendido. A Política de Privacidade da empresa estabelece especificamente que “o Usuário poderá solicitar a exclusão de seus Dados Pessoais”, mas não menciona especificamente os direitos dos consumidores sobre seus dados sob a legislação vigente (como o de retificação e apagamento), nem fornece meios específicos para o exercício de tais direitos.

Por fim, não encontramos quaisquer ambientes no site da NET, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que há facilidade para achar os contratos no site da empresa, disponíveis no rodapé da página inicial (“regulatório”), assim como a política de privacidade (http://www.netcombo.com.br/politica-de-privacidade), no item sobre contratos e regulamentos. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Ainda assim, consideramos que a empresa pode aprimorar a acessibilidade a outros documentos, como os relatórios de sustentabilidade, o código de ética e a política de privacidade da América Móvil, que estão em espanhol e são encontrados apenas no site da holding.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A NET obteve ¼ de estrela, pois atendeu apenas a um parâmetro.

A NET atende ao parâmetro I ao afirmar, em sua Política de Privacidade, que tem obrigação de suspender o sigilo e fornecer os dados na forma da lei. A política de privacidade da América Móvil reforça a diretriz de respeito à legislação vigente para fornecimento de dados.

Política de Privacidade:

A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário.

Ainda neste aspecto, vale destacar que a empresa faz referência no contrato a dispositivos da ANATEL que contém direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

A NET não informa, no entanto, a clientes que dados entrega e em que circunstâncias. Na cláusula 28.01 do contrato, a empresa afirma que, diante de práticas lesivas, será possível a disponibilização de toda e qualquer informação sobre o assinante, a qualquer tempo, às autoridades competentes

Cláusula 28.01. Sem prejuízo de outras não elencadas, são consideradas como práticas lesivas ao serviço NET VÍRTUA e/ou aos demais ASSINANTES, sujeitando-se o infrator a todas as cominações legais decorrentes, inclusive a rescisão contratual:

a) O ASSINANTE será responsável por manter as configurações da máquina para acesso aos serviços aqui contratados, sendo proibido alterar estas configurações na tentativa de responsabilizar terceiros ou ocultar a identidade ou autoria. Na hipótese de ocorrência dos casos aqui mencionados, a PRESTADORA poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o ASSINANTE, bem como cancelar a conta automaticamente, sem prévio aviso, respondendo o ASSINANTE civil e penalmente pelos atos praticados;

A redação do dispositivo faz parecer que só há fornecimento de dados a autoridades quando o usuário incorre em atividades nocivas à própria empresa, o que não é o caso na realidade.

A empresa também não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado, tampouco expõe seu entendimento quanto ao que constituem registros de conexão. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo. Tal clareza deve alcançar também as previsões acerca de dados de localização.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados, conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a NET informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A NET obteve estrela cheia, pois atendeu a ambos parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A NET obteve estrela vazia nessa categoria.

Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A NET obteve estrela vazia, pois não atendeu ao parâmetro.

O Relatório de Sustentabilidade do grupo América Móvil, apesar de trazer informações e parâmetros sobre proteção de dados e privacidade, não publica estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A NET não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

Ver a tabela

OI Banda Larga

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Oi – Banda larga obteve estrela vazia, pois atendeu a apenas um parâmetro (dois foram parâmetros parcialmente atendidos).

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre.

Quanto ao parâmetro II, que diz respeito ao fornecimento de informações ou referências legais claras sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização, considerou-se parcialmente atendido. Em seu contrato de banda larga, na cláusula 9.20 (direitos do assinante), a Oi estabelece parâmetros gerais. Não são especificados, no entanto, os tratamentos de dados ou as finalidades a que estão submetidos. Afirma-se apenas que “são usados para finalidades que justifiquem sua coleta”.

9.20. Receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, quando/se são apagados. O item não foi considerado, por isso, atendido.

Na avaliação do parâmetro IV, considerado parcialmente atendido, constatamos que a empresa, em seu Relatório de Sustentabilidade (p. 6 a 37), afirma que a privacidade e segurança dos dados dos clientes são um de seus eixos de preocupação e assegura que toma medidas de segurança para proteger os dados dos clientes. Sua Política de Segurança da Informação, ademais, foi publicada no site. Ali, apesar de trazer como referências normas ISO de segurança da informação e apresentar algumas diretrizes e parâmetros a serem seguidos pelos funcionários da empresa, são enunciados parâmetros amplos e genéricos e não são disponibilizadas informações específicas sobre práticas adotadas com relação aos dados dos clientes, como, por exemplo, a segurança dos data centers, processos de anonimização, perfis e condições de acesso aos dados. A política é composta, sobretudo, de diretrizes e princípios gerais.

Contrato de banda larga, entre os direitos do cliente:

9.20. Receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta.

Relatório de sustentabilidade, pg. 37:

Ações de segurança das informações de clientes trafegadas na Companhia são baseadas nas normas legais aplicáveis e buscam definir padrões de tecnologia da rede e de conscientização da equipe, principalmente, nas áreas de negócio, tecnologia da informação e engenharia. O fluxo de aprovações avaliará a necessidade de o usuário ter acesso ou não ao grupo de informações trafegadas. A gestão da segurança da informação garante os requisitos mínimos de segurança em pesquisa e desenvolvimento de produtos, bem como nos testes anteriores à entrada em produção, e atua na disponibilização de informações de clientes. Estamos sempre avaliando melhorias em nossos processos internos, com o objetivo de aprimorar a segurança de dados de nossos clientes.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente, as informações disponíveis referem-se apenas ao acesso de autoridades, elemento avaliado na segunda categoria deste levantamento. O item não foi considerado, por isso, atendido.

Sobre o parâmetro VI, considera-se também que não foi atendido, uma vez que nenhum dos documentos analisados faz referência aos direitos dos consumidores sobre seus dados, nem oferecem mecanismos de contato com a Oi para exercício de tais direitos.

Por fim, não encontramos quaisquer ambientes no site da Oi, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VI não foi considerado atendido.

Nesse item, ressaltamos ainda que sequer os contratos de banda larga da Oi, que contêm algumas das informações necessárias sobre o tema, encontram-se facilmente acessíveis. Para acessar os contratos de banda larga, observamos que, primeiro, é necessário informar uma localização na qual o serviço esteja disponível (note-se que não há banda larga da Oi em São Paulo). Depois, deve-se entrar na sessão de internet do site, informar o CEP e o número, para verificar a disponibilidade do serviço. Se o serviço estiver disponível, é exibida uma página com todas as ofertas disponíveis. É necessário então selecionar uma oferta. Na página da oferta, é necessário entrar em “veja mais informações” e, apenas aí, existe um link para a página com todos os contratos e regulamentações de banda larga. A Política de Segurança da Informação, de fato, está publicada no site, mas não é de fácil acesso, sendo necessário acessar o botão “sobre a oi”, em seguida “empresas”, e depois “Política de Segurança da Informação”. Recomendaríamos, como boa prática, que na ausência de um espaço específico voltado para informações de privacidade e proteção de dados, ao menos os contratos que versem sobre esse assunto estejam facilmente acessíveis em seu site, inclusive antes de se iniciar a contratação de algum serviço específico.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Oi Banda Larga obteve meia estrela, pois atendeu integralmente aos parâmetros I, II e parcialmente ao parâmetro VI.

Inicialmente, cumpre notar que, em comparação com avaliação empreendida no ano de 2018, foram observadas alterações relevantes, tanto nos contratos de banda larga, quanto nos contratos de Serviço Móvel Pessoal (SMP) na modalidade pós-paga. Essas alterações não foram, no entanto, observadas nos contratos de Serviço Móvel Pessoal (SMP) na modalidade do pré-paga.

Na cláusula 9.9 do seu contrato de banda larga, entre os direitos do assinante, o provedor promete respeitar a privacidade e a proteção de dados dos usuários, exceto nas hipóteses constitucionais e legais de quebra de sigilo, sem especificá-las. Ainda na cláusula 9 (direitos do assinante) e na cláusula 11.1 (obrigações da Oi), refere-se às resoluções da ANATEL – Resolução n. 614, de 28 de maio de 2013 e Resolução No 632, de 7 de março de 2014 da ANATEL – e aos direitos e obrigações ali previstos como elementos integrantes do contrato. Promete, ainda, preservar a privacidade, intimidade e sigilo de dados na cláusula 11.13, tanto os cadastrais quanto os referentes aos registros de conexão. No Relatório de Sustentabilidade (pg. 37), a Oi promete divulgar tais dados às autoridades somente nas hipóteses legais e constitucionais de quebra de sigilo. Satisfaz assim o parâmetro I.

Contrato de banda larga:

Cláusula 9. Além dos demais direitos previstos neste Contrato e dispostos entre os artigos 41 a 58 da Resolução n.º 614, de 28 de maio de 2013 bem como a Resolução Nº 632, de 7 de março de 2014 da ANATEL, no que tange ao serviço de comunicação multimídia da ANATEL, constituem-se direitos do ASSINANTE: (…)

9.9. Receber documento de cobrança com discriminação dos valores cobrados pela prestação do SERVIÇO BANDA LARGA DA OI, bem como ao respeito de sua privacidade nesses documentos e na utilização de seus dados pessoais pela Oi, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações. (…)

11.13 Respeitar preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão.

Relatório de Sustentabilidade (pág. 37):

Os dados cadastrais e informações de comunicações telefônicas de clientes são divulgados somente às autoridades públicas nas hipóteses constitucionais e legais de quebra de sigilo de telecomunicações.

Quanto ao parâmetro II, a empresa o cumpre ao afirmar que os dados cadastrais que informem a qualificação pessoal, filiação e endereço do cliente podem ser enviados às autoridades administrativas que tenham competência legal para a sua requisição, sem identificá-las ou especificar as hipóteses legais que consideram cabíveis. Deixa de cumprir, assim, os parâmetros III e IV.

11.15. Fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição.

Nos documentos analisados, não há menção a hipóteses em que a empresa promove o compartilhamento de dados de localização, de maneira que não foi atendido o parâmetro V.

Finalmente, sobre o parâmetro VI, a Oi Banda Larga prevê no contrato que registros de conexão são disponibilizados apenas mediante ordem de um juiz. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados). Cumpre assim parcialmente o parâmetro VI.

11.14. Disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associado a dados pessoais ou a outras informações que, possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Oi Banda Larga obteve ½ estrela, pois atendeu ao parâmetro II.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas novas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. A Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações. O parâmetro não foi, por isso, atendido.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e foram efetivamente encontradas várias ações, nas quais a Oi questionou ordens judiciais de quebra de sigilo para fornecimento de dados pessoais de usuários, entre eles dados cadastrais, de localização (ERB), IPs, dentre outros. Observadas as razões de pedir das ações, constatou-se que as ordens judiciais determinando acesso a dados foram questionadas por serem amplas, genéricas, por carecerem de fundamentação idônea e individualizada, e por violarem a garantia constitucional à privacidade, intimidade e a proteção do sigilo de dados e das comunicações.

São elas: HC 2180050-94.2017.8.26.0000 (ordem judicial ampla e não específica); HC 2173266-04.2017.8.26.0000 (ordem judicial genérica e carente de fundamentação idônea); HC 2182623-71.2018.8.26.0000 (ordem judicial genérica e ampla); HC 2198244-45.2017.8.26.0000 (ordem judicial para fornecimento de senha de acesso, dados cadastrais e registros de ligações por 6 meses, por ser genérica, ampla, abranger tempo excessivo); HC 2028417-65.2019.8.26.0000 (ordem judicial para senha de acesso, dados cadastrais, registros de conexão e dados de localização, por ser genérica e carente fundamentação idônea a específica); HC 2077474-23.2017.8.26.0000 (ordem judicial genérica, ampla e prazo excessivo); HC 2050353-49.2019.8.26.0000 (ordem judicial genérica, e carente de fundamentação individualizada); HC 2011168-38.2018.8.26.0000 (ordem judicial genérica e carente fundamentação individualizada)

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Oi Banda Larga não obteve estrela nessa categoria.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de os parâmetros não fossem atendidos. Interessa notar que, na pg. 51, do Relatório de Sustentabilidade da Oi, é afirmado que foi feito o acompanhamento de projetos de lei que tratavam da proteção de dados pessoais. Não se indica ou divulga, no entanto, posicionamentos ou manifestações associadas a tais projetos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Oi Banda Larga obteve estrela vazia, pois não atendeu ao parâmetro. Em seu Relatório de Sustentabilidade (pg. 37), a empresa limita-se a informar que dados cadastrais e demais informações são divulgados a autoridades públicas nas hipóteses autorizadas por lei. Não publica, no entanto, estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Oi Banda Larga não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

OI – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Oi Móvel obteve estrela vazia, pois atendeu a um parâmetro (dois parâmetros parcialmente atendidos).

Quanto ao parâmetro II, que diz respeito ao fornecimento de informações ou referências legais sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização, considerou-se parcialmente atendido. Em seu contrato para a modalidade pós-paga, na cláusula 9.1-XIII, entre os direitos do assinante, a Oi estabelece parâmetros gerais. Não são especificados, no entanto, os tratamentos de dados ou as finalidades a que estão submetidos. Afirma-se apenas que “são usados para finalidades que justifiquem sua coleta”.

9.1 – XII. receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta (pós-pago).

Contrato de Serviço Móvel Pessoal, entre as disposições gerais:

16.11. A Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão (pós-pago).

Relatório de sustentabilidade, pg. 37:

Ações de segurança das informações de clientes trafegadas na Companhia são baseadas nas normas legais aplicáveis e buscam definir padrões de tecnologia da rede e de conscientização da equipe, principalmente, nas áreas de negócio, tecnologia da informação e engenharia. O fluxo de aprovações avaliará a necessidade de o usuário ter acesso ou não ao grupo de informações trafegadas. A gestão da segurança da informação garante os requisitos mínimos de segurança em pesquisa e desenvolvimento de produtos, bem como nos testes anteriores à entrada em produção, e atua na disponibilização de informações de clientes. Estamos sempre avaliando melhorias em nossos processos internos, com o objetivo de aprimorar a segurança de dados de nossos clientes.

De qualquer forma, enaltecemos o fato de que os contratos de Serviço Móvel Pessoal (SMP) na modalidade pós-paga e pré-paga estão facilmente acessíveis ao final da página de cada plano. A Política de Segurança da Informação, por sua vez, está publicada no site, mas não é de fácil acesso, sendo necessário acessar o botão “sobre a oi”, em seguida “empresas”, e depois “Política de Segurança da Informação”. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Oi Móvel obteve meia estrela, pois atendeu integralmente aos parâmetros I, II e parcialmente ao parâmetro VI.

Na cláusula 16.11 do seu contrato de Serviço Móvel Pessoal na modalidade pós-paga, a Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão. No Relatório de Sustentabilidade (pg. 37), a Oi promete divulgar tais dados às autoridades somente nas hipóteses legais e constitucionais de quebra de sigilo. Satisfaz assim o parâmetro I.

Contrato de Serviço Móvel Pessoal, entre as disposições gerais::

16.11. A Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão;

16.12. A Oi se compromete a disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial.

16.13. A Oi se compromete a fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição.

Relatório de Sustentabilidade (pg. 37):

Os dados cadastrais e informações de comunicações telefônicas de clientes são divulgados somente às autoridades públicas nas hipóteses constitucionais e legais de quebra de sigilo de telecomunicações.

Quanto ao parâmetro II, a empresa o cumpre ao afirmar que os dados cadastrais somente serão enviados às autoridades administrativas que tenham competência legal para a sua requisição, sem, no entanto, identificá-las ou especificar as hipóteses legais que consideram cabíveis. Deixa de cumprir, assim, os parâmetros III e IV.

16.13. A Oi se compromete a fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição.

Nos documentos analisados, não há menção a hipóteses em que a empresa promove o compartilhamento de dados de localização, de maneira que não foi atendido o parâmetro V.

Finalmente, sobre o parâmetro VI, a Oi Móvel prevê no contrato que registros de conexão são disponibilizados apenas mediante ordem de um juiz. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados). Cumpre assim parcialmente o parâmetro VI.

16.12. A Oi se compromete a disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Oi Móvel obteve ½ estrela, pois atendeu ao parâmetro II.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas novas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. A Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações. O parâmetro não foi, por isso, atendido.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e foram efetivamente encontradas várias ações nas quais a Oi questionou ordens judiciais de quebra de sigilo para fornecimento de dados pessoais de usuários, entre eles dados cadastrais, de localização (ERB), IPs, dentre outros. Observadas as razões de pedir das ações, constatou-se que as ordens judiciais determinando acesso a dados foram questionadas por serem amplas, genéricas, por carecerem de fundamentação idônea e individualizada, e por violarem a garantia constitucional à privacidade, intimidade e a proteção do sigilo de dados e das comunicações.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Oi Móvel não obteve estrela nessa categoria.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de os parâmetros não fossem atendidos. Interessa notar que, na pg. 51, do Relatório de Sustentabilidade mais atualizado da Oi, é afirmado que foi feito o acompanhamento de projetos de lei que tratavam da proteção de dados pessoais. Não se indica ou divulga, no entanto, posicionamentos ou manifestações associados a tais projetos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Oi Móvel obteve estrela vazia, pois não atendeu ao parâmetro. Em seu Relatório de Sustentabilidade (pg. 37), a empresa limita-se a informar que dados cadastrais e demais informações são divulgados a autoridades públicas nas hipóteses autorizadas por lei. Não publica, no entanto, estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Oi Móvel obteve estrela vazia, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

Ver a tabela

TIM – Banda Larga

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A TIM Banda Larga obteve ¼ de estrela, pois atendeu parcialmente aos parâmetros II, IV e V, o que faz com que tenha atendido ao equivalente a 1,5 parâmetros.

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados. Por mais que o “Contrato de Prestação de Serviço de Comunicação Multimídia” estabeleça a “inviolabilidade do segredo de sua comunicação” e outras garantias legais, o InternetLab considerou tal redação genérica, cabendo diversos aperfeiçoamentos (conforme apontamentos abaixo).

Quanto ao parâmetro II (uso e tratamento de dados), a cláusula 3.1 (r) do referido contrato afirma que são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologia necessários para assegurar este direito dos usuários. Na cláusula 4.2 (e), afirma que são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; no item (j) ressalta que a empresa respeita a privacidade dos usuários nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora.

“CONTRATO DE PRESTAÇÃO DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA – SCM 3.1. (r) observar o dever de zelar estritamente pelo sigiloinerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologianecessárias para assegurar este direito dos usuários; 4.2. Constituem direitos do CLIENTE: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; (j) o respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora; 12.5. O CLIENTE assume toda e qualquer responsabilidade pelas eventuais operações de compra e venda por meio virtual que impliquem emtransferência de informações sigilosas do CLIENTE e/ou de terceiros.”

Além disso, no Relatório de Sustentabilidade, afirma-se que o acesso aos cadastros e dados de comunicação dos usuários será permitido apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e que dados cadastrais e de comunicações telefônicas somente “serão compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.” No entanto, tais informações são fornecidas de maneira demasiado genérica. Por exemplo, seria esperado que se informasse especificamente ao menos quais dados são coletados e quais usos serão feitos destes. Assim, como não há informações completas sobre como a empresa utiliza e trata os dados coletados, o parâmetro II foi considerado apenas parcialmente atendido.

Relatório de Sustentabilidade 2018 (p.48):

A Política de Privacidade de Dados de Clientes determina que:

Somente colaboradores autorizados podem acessar as informações de cadastro e dados de comunicação dos clientes e em casos de situações específicas.

(…)

Dados cadastrais e de comunicações telefônicas somente são compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, tampouco sobre quando e se são apagados. O item não foi considerado, por isso, atendido.

Quanto ao parâmetro IV, o Relatório de Sustentabilidade (p. 51), no âmbito da segurança, informa que a empresa segue as melhores práticas do mercado, de acordo com o ISO 27001 (apesar de não possuírem certificação). Como o relatório não se encontra facilmente acessível em seu site, exigindo esforço específico do cliente em encontrá-lo, e em seguida, inteirar-se da certificação mencionada, foi considerado cumprimento apenas parcial. Recomendaríamos a facilitação do acesso a essa informação, inclusive em compasso com o art. 16 do Decreto 8.771/2016, que exige, dessas informações, a “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

Quanto ao parâmetro V, considerado parcialmente atendido, a empresa informa em seu Relatório de Sustentabilidade que a utilização dos dados de comunicação e os cadastros dos usuários por terceiros será permitida apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e fornece algumas informações quanto ao compartilhamento de dados cadastrais e de comunicações telefônicas (vide trecho copiado acima). No entanto, sabe-se que o compartilhamento de dados com parceiros ou outras empresas de um mesmo grupo econômico é atividade comum e necessária para o funcionamento normal dos negócios de uma empresa de telefonia e internet, sendo insuficiente afirmar que estes serão somente acessados pelos colaboradores que precisarem de tais informações. A redação, demasiado genérica, seria aprimorada se fossem informados, por exemplo, quais funcionários têm acesso a quais dados, quais os limites específicos impostos aos compartilhamentos (p.ex., afirmando que os dados não serão vendidos para fins de marketing, ou coletando consentimento para tal) etc. Quanto aos dados entregues às autoridades públicas, igualmente a redação poderia ser aprimorada se se especificassem quais autoridades poderiam receber tais dados, por exemplo.

Quanto ao último parâmetro, não encontramos quaisquer ambientes no site da Tim, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que o acesso aos principais documentos a disciplinar a relação entre cliente e provedor no que diz respeito ao tratamento e proteção de dados é simples. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Por fim, ressaltamos que a política de privacidade que se encontra em site, por referir-se a dados dos visitantes de seu site, não foi considerada para esse relatório, voltado mormente aos dados dos consumidores de serviços de telefonia e internet móvel e fixa. Foi analisado, no entanto, o Sustainability Report 2018 do grupo TIM, mas as informações lá contidas em relação ao Brasil não alteraram nossas conclusões conforme apontadas acima.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Tim Banda Larga obteve ¼ de estrela, pois atendeu ao parâmetro I.

A empresa afirma, na Cláusula 3.2 do Contrato de Prestação do Serviço de Comunicação Multimídia e na cláusula 4.2 do Contrato de Prestação do Serviços, a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

CONTRATO DE PRESTAÇÃO DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA – SCM: 3.2. Constituem direitos do CLIENTE todos aqueles estabelecidos no Regulamento do SCM e na legislação vigente, tais como: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação das pessoas com deficiência, nos termos da regulamentação;

CONTRATO DE PRESTAÇÃO DE SERVIÇOS:

4.2. Constituem direitos do CLIENTE: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; (g) unilateralmente pela TIM, caso seja constatada a utilização do serviço para prática de atos criminosos, notadamente crimes contra crianças e adolescentes previstos no Estatuto da Criança e do adolescente e demais legislações aplicável a espécie, resguardando o direito de a TIM buscar a eventual reparação por perdas e danos em face do CLIENTE caso tenha sido acionada por terceiros prejudicado, no âmbito de demandas cíveis oi criminais que suscitem a responsabilidade pela pratica de tais atos ofensivos, através do LIVE TIM, sendo, inclusive, facultado a TIM fornecer todos os dados cadastrais do CLIENTE as autoridades judiciais na forma da lei 12.965/2014 para apuração do ilícito e devida responsabilização do autor das ofensas.

No Relatório de Sustentabilidade, a empresa afirma ainda que as informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

Relatório de Sustentabilidade 2017 (p. 51): As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento.

Ela não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Tim Banda Larga obteve estrela cheia, pois atendeu aos dois parâmetros.

Quanto ao parâmetro I, na fase de engajamento, a TIM apresentou ao InternetLab movimentações processuais que comprovam sua atuação em casos em que considera que a interpretação da lei não protege a privacidade de seus usuários. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações, e não influenciou, portanto, neste resultado.

Quanto ao parâmetro II, a TIM igualmente apresentou ao InternetLab, na fase de engajamento, peças em que contesta por via judicial pedidos abusivos, comprovando a sua atuação em defesa da privacidade de seus clientes.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A TIM banda larga obteve três quartos de estrela, pois atendeu aos parâmetros I e II integralmente e ao parâmetro IV parcialmente.

Na fase de engajamento, a TIM informou ao InternetLab que participou, em especial por intermédio de seu Data Protection Officer, Piero Formica, de diversos debates públicos onde defendeu a adoção de práticas favoráveis à privacidade de seus usuários (tendo sido atendido, portanto, o parâmetro I).

Em tais debates, tem defendido publicamente a adoção da nova Lei Geral de Proteção de Dados, inclusive de forma ativa, “não simplesmente fazendo o que a autoridade mandar”, razão pela qual considerou-se atendido o parâmetro II.

Quanto ao parâmetro III, por mais que a empresa tenha defendido um “novo conceito de ‘Internet ofTrust’”, não localizamos nos debates públicos em que participou a defesa específica da adoção de técnicas de segurança de dados e proteção do sigilo das comunicações, razão pela qual o parâmetro III não foi considerado atendido.

Por fim, quanto ao parâmetro IV, considera-se que foi parcialmente atendido. Isso porque a empresa, ao referir-se à GDPR, faz menção a parâmetros internacionais aos quais pretende adequar-se. No entanto, não o faz de forma direta, nem além do que seria exigido por uma interpretação protetiva da lei brasileira.

Dentre as participações públicas da empresa, ressaltamos as seguintes:

Piero Formica, diretor de compliance da TIM Brasil, enxerga a LGPD como uma oportunidade de transparência no relacionamento das prestadoras com seus clientes e parceiros. Mas ele destacou que o Brasil terá de fazer em meses o que foi feito na Europa em 20 anos, já que desde 1998 a região regula a relação entre dados pessoais e empresas de telecomunicações. “Tudo vai funcionar se conseguirmos conciliar o negócio com uma mudança de relacionamento com clientes, colaboradores, parceiros, governo”, afirmou. “A TIM criou uma área específica para cuidar de compliance, mas os departamentos de negócio, marketing, segurança, jurídico devem entender que também são atores”, completou. “Precisamos trabalhar juntos, interagir e não simplesmente fazer o que a autoridade mandar. Temos que definir juntos, montar fluxos para atuar. A LGDP é algo que não pode ser feita sozinha, nem dentro da organização, nem no mercado”, aconselhou, sugerindo que a lei no Brasil pode ser referência para o mundo. (fonte: https://sis-publique.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=50779&sid=4)

Mário Girasole, vice-presidente de assuntos regulatórios da TIM, acredita que as operadoras de telecomunicações podem liderar um movimento de criação de um ambiente de confiança na Internet. “A verdadeira questão do big data não é brincar de analista de dados. As respostas que os dados podem dar são ilimitadas. O que é preciso é entender a demanda. E dentro disso temos a questão de não transformar o ‘social good’ em ‘private evil'”, disse ele. “O presidente do Facebook esteve no Congresso americano dizer ‘vazaram dados de 90 milhões de pessoas, mas sorry, fiz o que tinha que fazer, e da próxima vez vou fazer melhor’. Agora, imagine uma operadora de telecomunicações que acabe infringindo alguma questão dos direitos dos usuários, tome um processo e chegue na Anatel para dizer ‘sorry, eu fiz o que tinha que fazer’?”. Girasole concorda com o conselheiro que a questão da privacidade se torna cada vez mais um tema econômico, e por isso é preciso pensar em um novo conceito de “Internet of Trust”. (fonte: https://teletime.com.br/25/05/2018/teles-precisam-liderar-movimento-da-internet-of-trust-diz-girasole/)

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A TIM Banda Larga obteve um quarto de estrela, pois atendeu parcialmente ao parâmetro I.

A TIM publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e/ou atendidos. Mesmo assim, por publicar informações quanto ao número de ações judiciais em que está envolvida, considerou-se o parâmetro I como parcialmente atendido.

Relatório de Sustentabilidade 2018 (p. 48):

“Em 2018, a Companhia esteve envolvida em 195 ações judiciais relacionadas à violação da privacidade de dados (apropriação das informações por terceiros devido à troca indevida de chip e consequente prejuízo ao cliente, material e/ou moral). Do total, 132 ainda se encontram em julgamento e 63 foram encerradas, sendo 19 com parecer favorável à TIM e 44 com pagamentos de indenizações pela TIM aos clientes.”

CATEGORIA: Notificação do usuário

Resultado:

A TIM Banda Larga não obteve estrela pois nos materiais analisados, não encontramos menção a mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado.

TIM – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A TIM Móvel obteve ¼ de estrela, pois atendeu parcialmente aos parâmetros II, IV e V, o que faz com que tenha atendido ao equivalente a 1,5 parâmetros.

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados. Por mais que o “Contrato de Prestação do Serviço Móvel Pessoal Pré-pago” estabeleça a “inviolabilidade do segredo de sua comunicação” e outras garantias legais, o InternetLab considerou tal redação genérica, cabendo diversos aperfeiçoamentos (conforme apontamentos abaixo).

Para o parâmetro II, cabe citar a Cláusula 3.3.g do contrato para o plano pré-pago (mesmos termos da Cláusula 3.5.f do pós-pago), em que se afirma que é assegurado ao cliente direitos como inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses legais de quebra de sigilo e ressalvada a hipótese de disponibilização de informações, exclusivamente para fins estatísticos, fornecendo informações e referências legais sobre utilização dos dados.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PRÉ-PAGO (“CONTRATO”): 3.3 São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: g) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PÓS-PAGO (“CONTRATO”):3.5 f) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

Relatório de Sustentabilidade 2018 (p.48):

A Política de Privacidade de Dados de Clientes determina que:

• Somente colaboradores autorizados podem acessar as informações de cadastro e dados de comunicação dos clientes e em casos de situações específicas.

(…)

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, tampouco sobre quando e se são apagados. O item não foi considerado, por isso, atendido.

Quanto ao parâmetro IV, o Relatório de Sustentabilidade (p. 48), no âmbito da segurança, informa que a empresa segue as melhores práticas do mercado, de acordo com o ISO 27001 (apesar de não possuírem certificação). Como o relatório não se encontra facilmente acessível em seu site, exigindo esforço específico do cliente em encontrá-lo, e, em seguida, inteirar-se da certificação mencionada, foi considerado cumprimento apenas parcial. Recomendaríamos a facilitação do acesso a essa informação, inclusive em compasso com o art. 16 do Decreto 8.771/2016, que exige, dessas informações, a “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

De qualquer forma, enaltecemos o fato de que o acesso aos principais documentos a disciplinar a relação entre cliente e provedor no que diz respeito ao tratamento e proteção de dados podem ser acessados no fim da página de cada opção de serviço. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Por fim, ressaltamos que a política de privacidade que se encontra em site, por referir-se a dados dos visitantes de seu site, não foi considerada para esse relatório, voltado mormente aos dados dos consumidores de serviços de telefonia e internet móvel e fixa. Foi analisado, no entanto, o Sustainability Report 2018 do grupo TIM, mas as informações lá contidas em relação ao Brasil não alteraram nossas conclusões conforme apontadas acima.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Tim Móvel obteve ¼ de estrela, pois atendeu ao parâmetro I.

A empresa afirma, na Cláusula 8.4 do plano pré-pago (mesmos termos na Cláusula 10.12 do plano pós-pago), dispensar tratamento sigiloso e confidencial aos dados e comunicações dos usuários em caso de determinação de autoridade competente.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PRÉ-PAGO (“CONTRATO”):

3.3 São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: g) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

10.4 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PÓS-PAGO (“CONTRATO”): 3.5. São assegurados ao CLIENTE os direitos estabelecidos na regulamentação do SMP e na legislação vigente, tais como: (…)

f) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

10.12 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

Relatório de Sustentabilidade 2017 (p. 51): As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Tim Móvel obteve estrela cheia, pois atendeu aos dois parâmetros.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A TIM obteve três quartos de estrela, pois atendeu aos parâmetros I e II integralmente e ao parâmetro IV parcialmente.

Dentre as participações públicas da empresa, ressaltamos as seguintes:

Piero Formica, diretor de compliance da TIM Brasil, enxerga a LGPD como uma oportunidade de transparência no relacionamento das prestadoras com seus clientes e parceiros. Mas ele destacou que o Brasil terá de fazer em meses o que foi feito na Europa em 20 anos, já que desde 1998 a região regula a relação entre dados pessoais e empresas de telecomunicações. “Tudo vai funcionar se conseguirmos conciliar o negócio com uma mudança de relacionamento com clientes, colaboradores, parceiros, governo”, afirmou. “A TIM criou uma área específica para cuidar de compliance, mas os departamentos de negócio, marketing, segurança, jurídico devem entender que também são atores”, completou. “Precisamos trabalhar juntos, interagir e não simplesmente fazer o que a autoridade mandar. Temos que definir juntos, montar fluxos para atuar. A LGDP é algo que não pode ser feita sozinha, nem dentro da organização, nem no mercado”, aconselhou, sugerindo que a lei no Brasil pode ser referência para o mundo. (fonte: https://sis-publique.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=50779&sid=4)

Mário Girasole, vice-presidente de assuntos regulatórios da TIM, acredita que as operadoras de telecomunicações podem liderar um movimento de criação de um ambiente de confiança na Internet. “A verdadeira questão do big data não é brincar de analista de dados. As respostas que os dados podem dar são ilimitadas. O que é preciso é entender a demanda. E dentro disso temos a questão de não transformar o ‘social good’ em ‘private evil'”, disse ele. “O presidente do Facebook esteve no Congresso americano dizer ‘vazaram dados de 90 milhões de pessoas, mas sorry, fiz o que tinha que fazer, e da próxima vez vou fazer melhor’. Agora, imagine uma operadora de telecomunicações que acabe infringindo alguma questão dos direitos dos usuários, tome um processo e chegue na Anatel para dizer ‘sorry, eu fiz o que tinha que fazer’?”. Girasole concorda com o conselheiro que a questão da privacidade se torna cada vez mais um tema econômico, e por isso é preciso pensar em um novo conceito de “Internet of Trust”. (fonte: https://teletime.com.br/25/05/2018/teles-precisam-liderar-movimento-da-internet-of-trust-diz-girasole/)

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A TIM Móvel obteve um quarto de estrela, pois atendeu parcialmente ao parâmetro I.

Relatório de Sustentabilidade 2018 (p. 48):

“Em 2018, a Companhia esteve envolvida em 195 ações judiciais relacionadas à violação da privacidade de dados (apropriação das informações por terceiros devido à troca indevida de chip e consequente prejuízo ao cliente, material e/ou moral). Do total, 132 ainda se encontram em julgamento e 63 foram encerradas, sendo 19 com parecer favorável à TIM e 44 com pagamentos de indenizações pela TIM aos clientes.”

CATEGORIA: Notificação do usuário

Resultado:

A TIM Móvel não obteve estrela pois nos materiais analisados, não encontramos menção a mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado.

Ver a tabela

VIVO – BANDA LARGA

CATEGORIA: Informações sobre tratamento de dados

Resultado:

Nesta categoria, a Vivo banda larga obteve estrela cheia.

Em seu contrato na modalidade banda larga, a empresa traz a cláusula: “Do Uso dos Dados Pessoais do Cliente”. Nela, como o próprio nome sugere, oferece várias informações sobre tratamento e segurança de dados – a Vivo afirma que coletará dados pessoais do cliente e registros de sua conexão à internet, assim como por qual prazo e, em linhas gerais, quem tem acesso a essas informações, cumprindo, portanto, o parâmetro I. A Vivo endereça essa questão também no seu Centro de Privacidade, tanto em vídeo quanto em texto.

Centro de Privacidade (subseção “informações coletadas):

A Vivo coleta as suas informações de acordo com o serviço que você utiliza. Saiba quais são estas informações:

Dados cadastrais: O que você disponibilizou quando contratou os nossos serviços, como nome, endereço, CPF etc.;

Volumes de dados trafegados na internet via rede 2G, 3G e/ou 4G; Histórico de uso dos produtos e serviços contratados: Exatamente o que o nome diz, mas é importante saber que esse histórico não envolve registro de apps utilizados no seu celular nem o que você faz nas redes sociais ou sites. Isso vale apenas para os apps da Vivo! Aí sim é feita a coleta de dados para deixar o app cada vez melhor;

Eventos de SMS que estão dentro e fora da rede Vivo nacional: Essa coleta inclui eventos Vivo internacionais e de operadoras internacionais em roaming;

Histórico de chamadas realizadas e recebidas: Informações contábeis e fiscais, de fatura e pagamento do cliente;

Transações de recargas e acompanhamento do uso desses créditos;

Dados de atendimento ao cliente em lojas e no call center.

A Vivo usa os cookies para facilitar a sua navegação pelo site e deixar ainda melhor a personalização dos nossos serviços. E você pode ficar tranquilo se não quiser habilitar os cookies! Configure o seu navegador para aceitar ou rejeitar essa ferramenta.

Quanto ao parâmetro II, na subseção “Para que e como coletamos informações?” do Centro de Privacidade, a empresa descreve algumas das finalidades da coleta de dados, como melhora do serviço da rede, personalizar o atendimento etc. Também no contrato da banda larga, na cláusula 13.1, a empresa fornece informações sobre tratamento de dados, incluindo a finalidade e a forma como se dá a utilização.

Centro de Privacidade (subseção “Para que e como coletamos informações?”):

Por isso, vamos explicar aqui os motivos para coletarmos todas essas informações:

Transações de recargas e acompanhamento do uso desses créditos;

Melhorar o desempenho da rede e aumentar a qualidade dos nossos serviços;

Corrigir as falhas nos serviços de rede móvel, fixa e TV ainda mais rápido;

Deixar os processos para a elaboração de planos, serviços e ofertas personalizadas ainda mais próximos do seu perfil;

Avaliar a demanda por região geográfica;

Ajudar nas decisões estratégicas da Vivo, como redistribuir o sinal ou remanejar a carteira de serviços;

Melhorar a experiência de relacionamento entre você e a Vivo, como envio de marketing direto e fornecimento de ofertas mais relevantes.

CONTRATO DE ADESÃO DE PRESTAÇÃO DO SERVIÇO TELEFÔNICO FIXO COMUTADO (STFC), DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA (SCM) E DO SERVIÇO DE ACESSO CONDICIONADO (TV POR ASSINATURA -SeAC): 5.3 O CLIENTE tem a opção de autorizar ou não a VIVO a enviar-lhe, e-mails, malas diretas, encartes ou qualquer outro instrumento de comunicação ofertando serviços e/ou produtos da VIVO ou empresas a estarelacionada ou parceiras, bem como fornecer a estas os dados cadastrais/pessoais fornecidos para a presente contratação, para a oferta de seus produtos e/ou serviços. Tais permissões podem ser revogadas pelo CLIENTE, a qualquer momento, por meio de solicitação feita à Central de Relacionamento com o CLIENTE. 13.1. Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão tratados na forma da legislação vigente e regulamentação aplicável, exclusivamente com o objetivo de prestação do(s) serviço(s) de telecomunicação (ões) objeto deste Contrato, bem como para análise de perfil do CLIENTE, ou para finalidades de marketing, por forma a (i) garantir a adequação das melhores ofertas de acordo com as necessidades do CLIENTE; e (ii) melhorar a performance dos serviços prestados, podendo ainda os mesmos ser tratados pela VIVO, seus parceiros ou por terceiros por contratados pela VIVO, de forma anonimizada de modo a permitir análise e construção de padrões, comportamentos, escolhas, e consumos para as finalidades aqui previstas.

Em outra subseção, “Por quanto tempo armazenamos?”, a empresa informa o tempo de armazenamento de dados, satisfazendo assim o parâmetro III. Também no contrato, nas cláusulas 13.2 e 13.3 a empresa fornece informações e referências legais sobre armazenamento e eliminação de dados, incluindo por quanto tempo e por quem serão armazenados os dados pessoais e registros de conexão do cliente.

Centro de privacidade (subseção “Por quanto tempo armazenamos?”):

De acordo com o Marco Civil da Internet, a Vivo armazena por no mínimo 1 ano os seus registros de conexão, que são as informações sobre o tempo das suas conexões à internet e o IP para envio e recebimento de dados. Os seus dados cadastrais (como nome completo, endereço e CPF) e os dados de faturamento (documentos de natureza fiscal) são armazenados por no mínimo 5 anos, para processos judiciais e administrativos. Não registramos conteúdo de provedores de apps, a não ser aqueles que criamos. Então, neste caso, de acordo com o Marco Civil da Internet, mantemos o registro por até 6 meses, sob sigilo, em ambiente controlado e de segurança. As informações individualizadas só vão ser compartilhadas com parceiros se você autorizar.

CONTRATO DE ADESÃO DE PRESTAÇÃO DO SERVIÇO TELEFÔNICO FIXO COMUTADO (STFC), DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA (SCM) E DO SERVIÇO DE ACESSO CONDICIONADO (TV POR ASSINATURA -SeAC): 13.2 Os dados pessoais do CLIENTE recolhidos pela VIVO no âmbito deste Contrato serão armazenados pela VIVO ou por um terceiro subcontratado pela VIVO pelo prazo de 5 (cinco) anos, sendo os Contratos armazenados pelo prazo de 10 (dez) anos, por forma a garantir o cumprimento das correspondentes obrigações legais aplicáveis, sendo garantido aos CLIENTES que o armazenamento dos seus dados pessoais pela VIVO ou por terceiros subcontratados será efetuada mediante a adoção de medidas de segurança e proteção física e lógica das informações. 13.3. Por estipulação legal, a VIVO irá armazenar os registros da sua conexão à Internet pelo prazo de 1 (um) ano, garantindo para este efeito a adoção de medidas de segurança física e lógica e que permitem salvaguardar a proteção e segurança, sigilo e confidencialidade dos registros de conexão, pelo que após o decurso do prazo de 1 (um) ano, a VIVO eliminará todos os registros de conexão dos seus registros. A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente o armazenamento dos registros de conexão por um prazo adicional, em relação ao prazo previsto.

Sobre o parâmetro IV, no Relatório de Sustentabilidade (p. 57), a empresa informa alguns dos standards de segurança que utiliza para garantir a proteção dos usuários. Além disso, no “Centro de Privacidade”, a empresa informa os standards de segurança que utiliza, assegura a assinatura de um termo de segurança por parceiros e declara possuir uma Política Corporativa de Segurança da Informação, que estabelece diretrizes obrigatórias para todos os colaboradores. Sobre anonimização, na subseção “Onde compartilhamos esses dados?”, a empresa afirma que quando da realização de estudos de comportamento, não é possível a individualização dessas informações – e informações individualizadas, por sua vez, somente são compartilhadas com parceiros perante autorização do cliente.

O centro de privacidade também (seção “segurança da informação”):

A Vivo se preocupa com a segurança das informações dos seus clientes. Por isso, nós nos comprometemos a protegê-las contra invasões e garantimos que todos os seus dados continuarão confidenciais. Para que isso aconteça, todas as informações que saem do seu computador e chegam aos servidores da Vivo são criptografadas. Atenção: O Meu Vivo contém informações pessoais. Por isso, não recomendamos que você compartilhe a sua senha com outras pessoas, já que isso pode colocar sua segurança e seus dados pessoais em risco.

Confidencialidade: Permitimos o acesso aos dados e aos nossos sistemas somente a pessoas autorizadas, conforme o “princípio do privilégio mínimo”;

Integridade: Preservamos a confiabilidade dos dados e das informações contra qualquer tipo de alteração, seja de forma acidental ou fraudulenta;

Disponibilidade: Estabelecemos os controles necessários para que as informações estejam disponíveis para serem acessadas quando necessário;

Auditabilidade: Propiciamos que qualquer ação ou transação possa ser relacionada univocamente, garantindo o cumprimento dos controles fundamentais estabelecidos nas respectivas normas. Se acontecer algum incidente de segurança, nos comprometemos a agir com rapidez e responsabilidade para minimizar os impactos e possíveis danos. Também mantemos um plano de continuidade de negócios para diminuir possíveis impactos a você que possam afetar a prestação dos serviços.

A Vivo utiliza recursos para investigar vulnerabilidades de segurança que coloquem em risco a sua privacidade, garantindo que sejam implantadas as medidas de correção certas. Você será informado apenas dos casos relevantes em que a perda, o uso indevido ou a revelação das informações tenham acontecido por uma violação da segurança dos sistemas e das redes da companhia ou que estejam relacionados a uma decisão ou ação técnica interna. Nesses casos, você vai saber quais ações corretivas vão ser realizadas e as recomendações para proteger os seus interesses. No nosso relacionamento com as autoridades legais, respeitamos a legislação local e a regulamentação. Se você está ciente de qualquer vulnerabilidade ou ameaça, que possa afetar a infraestrutura da Vivo, entre em contato com nossa equipe de Resposta a Incidentes de Segurança (CSIRT Vivo) através do e-mail: csirt.br@telefonica.com.

Sobre o parâmetro V, a Vivo especifica as circunstâncias e condições do compartilhamento de dados com terceiros, tanto no contrato, como em seu Centro de Segurança. Na cláusula 13.1 a empresa exemplifica em que circunstâncias compartilhará dados com terceiros contratados pela Vivo ou parceiros, especificando que tal compartilhamento se limita à “análise e construção de padrões, comportamentos, escolhas, e consumos para as finalidades aqui previstas”. Além disso, na Cláusula 13.6 afirma-se que ao assinar o contrato, o cliente autoriza a Vivo a divulgar seu nome como parte da relação de Clientes no Brasil, podendo o cliente cancelar essa autorização assim que enviar um aviso por escrito à empresa. Na cláusula 13.7, há a informação de que, fora o disposto nos itens anteriores, não haverá fornecimento de terceiros de demais dados pessoais e registros de conexão salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.

CONTRATO DE ADESÃO DE PRESTAÇÃO DO SERVIÇO TELEFÔNICO FIXO COMUTADO (STFC), DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA (SCM) E DO SERVIÇO DE ACESSO CONDICIONADO (TV POR ASSINATURA -SeAC): 13.6 O CLIENTE desde já autoriza a VIVO a divulgar o seu nome como parte da relação de Clientes no Brasil. O CLIENTE poderá cancelar a autorização prevista neste item, a qualquer tempo, sem justificativa, mediante prévio aviso por escrito à VIVO. 13.7 Salvo o disposto nos itens anteriores, não haverá o fornecimento a terceiros de demais dados pessoais, inclusive registros de conexão, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei identificadas na cláusula 13.4 e 13.5 deste Contrato.

Centro de Privacidade:

Seus dados podem ser compartilhados: Com parceiros sempre que relacionado com a prestação do serviço contratado por você (por exemplo, quando você está em roaming); Em casos previstos em lei e/ou por força de ordem judicial; Com parceiros, de forma individualizada, apenas com sua autorização expressa e sempre com a possibilidade de opt out.

Sobre o parâmetro VI, considera-se também que foi atendido, uma vez que o “centro de privacidade” da empresa contém um item específico com informações sobre o “Direito de Acesso, Retificação, Oposição e Cancelamento”, assim como maneiras de contatar a Vivo para exercer tais direitos.

Por fim, sobre o parâmetro VII, pela página principal do site da Vivo é acessível a página “centro de privacidade”, com informações claras e organizadas sobre as práticas de privacidade da empresa. Ainda assim, cabe notar que o centro de privacidade não é facilmente visível na página principal, sendo mais facilmente encontrado no Relatório de Sustentabilidade. Recomendaríamos ainda, como boa prática, que o centro de privacidade fosse acessível por meio de outros locais do site, por exemplo nos momentos de contratação de planos específicos, de forma a aumentar sua visibilidade e possibilidade de acesso.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Vivo Banda Larga obteve estrela cheia, pois atendeu a cinco parâmetros integralmente e a um parcialmente.

Quanto ao parâmetro I, no Relatório de Sustentabilidade (p. 21), a empresa afirma que busca cumprir a legislação e marcos regulatórios em âmbito nacional. No seu Centro de privacidade, na seção “quebra de sigilo”, esclarece que em algumas situações, “como em caso de ordens judiciais e solicitações de autoridades competentes”, pode haver o compartilhamento registros de conexão, voz e dados sem o conhecimento do usuário, “de acordo com a legislação vigente no Brasil”. Finalmente, no também no contrato, esse compromisso é expresso.

Relatório de Sustentabilidade (p. 21)

Buscamos garantir o compliance com a legislação e os marcos regulatórios em âmbito internacional, nacional e regional, a fim de antecipar tendências e mudanças que influenciam nossos negócios nos temas ambientais, na cadeia de fornecedores e nos tributos.

CONTRATO DE ADESÃO DE PRESTAÇÃO DO SERVIÇO TELEFÔNICO FIXO COMUTADO (STFC), DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA (SCM) E DO SERVIÇO DE ACESSO CONDICIONADO (TV POR ASSINATURA -SeAC): 5.1.3. Inviolabilidade e segredo da comunicação trocada entre o CLIENTE e a VIVO, respeitadas as hipóteses e condições constitucionais, legais e administrativas de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação das pessoas com deficiência, nos termos da regulamentação aplicável. 5.1.5. Respeito à sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela VIVO, nos termos da legislação e regulamentação aplicável.

Sobre os parâmetros II, III, IV e V, no Informe de Transparencia en las Comunicaciones de 2018, há a definição de quais seriam as autoridades competentes para interceptações e requisição de metadados de acordo com a legislação brasileira, ou seja, são abordados os dados, as condições e a autoridade a quem a empresa concede acesso.

Informe de Transparencia del Grupo Telefónica (2018):

Define un procedimiento interno global común ante requerimiento de determinadas autoridades de acuerdo con la legislación de cada país y pretende garantizar la legalidad de dichos requerimientos y de los derechos fundamentales de los interesados en este tipo de procedimentos. Los Principios que rigen el proceso son Confidencialidad, Exhaustividad, Fundamentación, Respuesta Diligente y Seguridad. Nuestro compromiso es asegurar la participación en el proceso de áreas legales o áreas similares con competencias legales en la recepción de las peticiones. Contamos con interlocutores fijos como ventanilla única en nuestra relación con las autoridades competentes, de manera que rechazamos cualquier petición que no viene por este conducto reglamentario.

INTERCEPTACIÓN LEGAL (p. 14)

Autoridades competentes: De acuerdo con el artículo 3º de la Ley Federal brasileña n. 9.296/1996 (ley de las interceptaciones), solamente el Juez (de la esfera criminal) puede determinar las interceptaciones (telefónicas y telemáticas), a petición de la Fiscalía (Ministério Público) o Comisario de Policía (“Autoridade Policial”).

Contexto legal: Constitución de la República Federal de Brasil: Art. 5º; Ley Nº 9.296, de 24 de Julio de 1996; Resolución N ° 426 del 9 de diciembre de 2005; Reglamento de Servicio de Telefonía Fija – STFC. STF; Resolución N° 614 del 28 de mayo 2013; Reglamento de Servicio de Comunicación Multimedia.

ACCESO A METADATOS (p. 15)

Autoridades competentes:

Fiscalía, Comisarios de Policía y Jueces de cualquier esfera, como también Presidentes de las Comisiones Parlamentarias de Investigación: el nombre y dirección del usuario registrado (datos de abonado), así como la identidad de los equipos de comunicación (incluyendo IMSI o IMEI).

Jueces de cualquier esfera: los datos para identificar el origen y el destino de una comunicación (por ejemplo, números de teléfono, nombres de usuario para los servicios de Internet), la fecha, hora y duración de una comunicación y la localización del dispositivo. (em vermelho, alteração da redação)

Contexto legal: Constitución de la República Federal de Brasil: Art. 5º; Ley Nº 9.296, de 24 de Julio de 1996; Ley Nº 9.472, de 16 de julio de 1997. Art. 3; Ley Nº 12.683, de 9 de julio de 2012. Art. 17-B; Ley Nº 12.830, de 20 de junio de 2013. Art. 2; Ley Nº 12850 de 20 de agosto de 2013. Art. 15; Ley Nº 12965 de 23 de abril de 2014. Art. 7; 10 y 19; DECRETO Nº 8.771, de 11 de mayo de 2016. Art. 11; Resolución N° 426 del 9 de diciembre de 2005 / Reglamento de Servicio de Telefonía Fija – STFC. STFC. Art. 11; 22;23 y 24 / Resolución N° 477 del 7 de agosto de 2007/ Reglamento de Servicio Móvil Personal – SMP. Art. 6;10 ;12;13; 89 y 90. / Resolución N° 614 del 28 de mayo 2013/ Reglamento de Servicio de Comunicación Multimedia. Art. 52 y 53.

Ainda no que diz respeito a tais parâmetros, o Contrato estabelece que a companhia fornecerá dados cadastrais por requisição (sem ordem judicial) a autoridades administrativas competentes (II) e registros de conexão apenas mediante ordem judicial (VI). Embora apresente informações menos exaustivas que o Informe, observados em conjunto, os documentos diferenciam os regimes de acesso aos dados (cadastrais, geolocalização e registros de conexão), discriminam as autoridades competentes e indicam o lastro e limite legal de sua competência.

CONTRATO DE ADESÃO DE PRESTAÇÃO DO SERVIÇO TELEFÔNICO FIXO COMUTADO (STFC), DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA (SCM) E DO SERVIÇO DE ACESSO CONDICIONADO (TV POR ASSINATURA -SeAC): 13.4 Os registros de conexão somente serão disponibilizados pela VIVO, de forma autônoma ou associados a dados pessoais, mediante ordem judicial, nos termos da lei. 13.5 Os dados cadastrais que informem a qualificação pessoal, filiação e endereço do CLIENTE podem ser enviados às autoridades administrativas que detenham competência legal para a sua requisição.

Isso significa que a Vivo entrega dados cadastrais mediante requisição de representantes Ministério Público (“Fiscalía”), autoridades policiais (“comisarios de policía”) e juízes. Registros de conexão e dados de localização são disponibilizados apenas mediante ordem de um juiz.

Por fim, quanto ao parâmetro VI, considera-se que foi parcialmente atendido. Por um lado, o mesmo trecho apontado acima é claro ao definir que somente juízes terão acesso aos dados sobre origem e destino de uma comunicação, de que se depreende que tal acesso se dará mediante ordem judicial. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados).

O InternetLab enaltece a conduta da Telefónica Global de tornar públicas as suas interpretações sobre quais as autoridades competentes para solicitar dados de usuários e em que circunstâncias. No entanto, reforçamos que há necessidade de apresentar tais informações em português para que a empresa seja pontuada sem ressalvas, seja em contratos, em Relatório de Sustentabilidade, ou outros materiais.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Vivo banda larga obteve meia estrela nesta categoria, pois atendeu ao parâmetro I.

Quanto ao parâmetro I, realizamos buscas exploratórias e localizamos a interposição de embargos de declaração, pela Vivo, no escopo da Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL já foi considerada na última edição do QDSD e não registrou movimentações, e não foi, portanto, levada em consideração.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e não conseguimos achar resultados nos quais a empresa tenha contestado pedidos abusivos de autoridades estatais.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Vivo banda larga não obteve estrela nessa categoria.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido. Observamos, no entanto, o seguinte: Durante a tramitação da LGPD, no dia 26 de junho de 2018, ocorreu na Comissão de Assuntos Econômicos do Senado audiência pública sobre o PL. Nessa audiência foi apresentado o Manifesto pela aprovação da Lei de Proteção de Dados assinado por diversas entidades e organizações, inclusive do setor privado. Nenhuma operadora de Telecom assinou o documento, embora o Diretor da Telefônica tenha afirmado em evento que a empresa assim teria feito.

Declarações públicas de “Enylson Camolesi, diretor da Telefônica:

“Apoiamos a lei. O cidadão tem de estar no centro.”

“Para Camolesi, o pior cenário é acontecer uma série de vetos na sanção da lei, porque, nesse caso, pode-se ter um marco legal que não atende aos anseios da sociedade. ‘Como você vai fazer investimentos de longo prazo precisa ter um marco legal. Acreditamos na transparência e que o elemento central tem de ser a pessoa.’”

Ressaltamos que a contribuição da Telefônica à consulta pública proposta pelo Ministério da Ciência, Tecnologia, Inovações e Comunicações sobre a regulação do 5G foi analisada para este relatório. No entanto, por somente referir-se às práticas internas da empresa, sem defender qualquer posição específica no âmbito da consulta, considerou-se que tal participação não foi suficiente para que os parâmetros deste critério fossem atendidos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Vivo obteve estrela cheia, pois atendeu aos dois parâmetros.

Pelo terceiro ano seguido, encontramos a publicação do Informe de Transparencia en las Comunicaciones de 2018, do Grupo Telefônica (documento em espanhol), em que há certo detalhamento sobre o conjunto regulatório em cada país no qual o grupo está presente, o número de requerimentos de dados que receberam em cada país entre 2013 e 2017 e, especialmente no caso do Brasil, quais são as autoridades que consideram competentes.

No Brasil em 2017, foram 437.770 requerimentos de interceptação e 1.942.267 requerimentos de acesso a metadados (Informe de Transparencia, 2018, p. 14 e 15). Assim, por incluir estatística e esclarecer quais são as autoridades que considera competente de acordo com a lei, a empresa cumpriu o parâmetro.

O InternetLab reforça a importância de publicar tal documento em português, para que a empresa seja pontuada sem ressalvas no relatório final e continue a ser completamente pontuada em edições futuras do projeto.

CATEGORIA: Notificação do usuário

Resultado:

A Vivo não obteve estrela, pois não há menção à possiblidade de notificação do usuário em qualquer um dos documentos analisados. Cabe notar que, no Informe de Transparencia del Grupo Telefónica (2018), a questão só é abordada no caso do Reino Unido, por haver determinação legal.

VIVO MÓVEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

Nesta categoria, a Vivo móvel obteve estrela cheia.

Embora os contratos de telefonia móvel nas modalidades pós e pré-pago não ofereçam informações substanciais sobre os dados coletados, constatamos que estão disponíveis no Relatório de Sustentabilidade e no Centro de Privacidade, no website da Vivo. Nessa seção, os usuários contam um com breve vídeo informativo sobre os pontos principais da proteção de dados pela empresa e depois, através do menu, podem encontrar outras informações mais pormenorizadas.

A Vivo atende ao parâmetro I, ao discriminar tanto no vídeo quanto em texto os dados coletados.

Centro de Privacidade (subseção “informações coletadas):

A Vivo coleta as suas informações de acordo com o serviço que você utiliza. Saiba quais são estas informações:

Dados cadastrais: O que você disponibilizou quando contratou os nossos serviços, como nome, endereço, CPF etc.;

Volumes de dados trafegados na internet via rede 2G, 3G e/ou 4G; Histórico de uso dos produtos e serviços contratados: Exatamente o que o nome diz, mas é importante saber que esse histórico não envolve registro de apps utilizados no seu celular nem o que você faz nas redes sociais ou sites. Isso vale apenas para os apps da Vivo! Aí sim é feita a coleta de dados para deixar o app cada vez melhor;

Eventos de SMS que estão dentro e fora da rede Vivo nacional: Essa coleta inclui eventos Vivo internacionais e de operadoras internacionais em roaming;

Histórico de chamadas realizadas e recebidas: Informações contábeis e fiscais, de fatura e pagamento do cliente;

Transações de recargas e acompanhamento do uso desses créditos;

Dados de atendimento ao cliente em lojas e no call center.

A Vivo usa os cookies para facilitar a sua navegação pelo site e deixar ainda melhor a personalização dos nossos serviços. E você pode ficar tranquilo se não quiser habilitar os cookies! Configure o seu navegador para aceitar ou rejeitar essa ferramenta.

Quanto ao parâmetro II, na subseção “Para que e como coletamos informações?” a empresa descreve algumas das finalidades da coleta de dados, como melhora do serviço da rede, personalizar o atendimento etc.

Centro de Privacidade (subseção “Para que e como coletamos informações?”):

Por isso, vamos explicar aqui os motivos para coletarmos todas essas informações:

Transações de recargas e acompanhamento do uso desses créditos;

Melhorar o desempenho da rede e aumentar a qualidade dos nossos serviços;

Corrigir as falhas nos serviços de rede móvel, fixa e TV ainda mais rápido;

Deixar os processos para a elaboração de planos, serviços e ofertas personalizadas ainda mais próximos do seu perfil;

Avaliar a demanda por região geográfica;

Ajudar nas decisões estratégicas da Vivo, como redistribuir o sinal ou remanejar a carteira de serviços;

Melhorar a experiência de relacionamento entre você e a Vivo, como envio de marketing direto e fornecimento de ofertas mais relevantes.

Em outra subseção, “Por quanto tempo armazenamos?”, a empresa informa o tempo de armazenamento de dados, satisfazendo assim o parâmetro III.

Centro de privacidade (subseção “Por quanto tempo armazenamos?”):

De acordo com o Marco Civil da Internet, a Vivo armazena por no mínimo 1 ano os seus registros de conexão, que são as informações sobre o tempo das suas conexões à internet e o IP para envio e recebimento de dados. Os seus dados cadastrais (como nome completo, endereço e CPF) e os dados de faturamento (documentos de natureza fiscal) são armazenados por no mínimo 5 anos, para processos judiciais e administrativos. Não registramos conteúdo de provedores de apps, a não ser aqueles que criamos. Então, neste caso, de acordo com o Marco Civil da Internet, mantemos o registro por até 6 meses, sob sigilo, em ambiente controlado e de segurança. As informações individualizadas só vão ser compartilhadas com parceiros se você autorizar.

O centro de privacidade também (seção “segurança da informação”):

A Vivo se preocupa com a segurança das informações dos seus clientes. Por isso, nós nos comprometemos a protegê-las contra invasões e garantimos que todos os seus dados continuarão confidenciais. Para que isso aconteça, todas as informações que saem do seu computador e chegam aos servidores da Vivo são criptografadas. Atenção: O Meu Vivo contém informações pessoais. Por isso, não recomendamos que você compartilhe a sua senha com outras pessoas, já que isso pode colocar sua segurança e seus dados pessoais em risco.

Confidencialidade: Permitimos o acesso aos dados e aos nossos sistemas somente a pessoas autorizadas, conforme o “princípio do privilégio mínimo”;

Integridade: Preservamos a confiabilidade dos dados e das informações contra qualquer tipo de alteração, seja de forma acidental ou fraudulenta;

Disponibilidade: Estabelecemos os controles necessários para que as informações estejam disponíveis para serem acessadas quando necessário;

Auditabilidade: Propiciamos que qualquer ação ou transação possa ser relacionada univocamente, garantindo o cumprimento dos controles fundamentais estabelecidos nas respectivas normas. Se acontecer algum incidente de segurança, nos comprometemos a agir com rapidez e responsabilidade para minimizar os impactos e possíveis danos. Também mantemos um plano de continuidade de negócios para diminuir possíveis impactos a você que possam afetar a prestação dos serviços.

A Vivo utiliza recursos para investigar vulnerabilidades de segurança que coloquem em risco a sua privacidade, garantindo que sejam implantadas as medidas de correção certas. Você será informado apenas dos casos relevantes em que a perda, o uso indevido ou a revelação das informações tenham acontecido por uma violação da segurança dos sistemas e das redes da companhia ou que estejam relacionados a uma decisão ou ação técnica interna. Nesses casos, você vai saber quais ações corretivas vão ser realizadas e as recomendações para proteger os seus interesses. No nosso relacionamento com as autoridades legais, respeitamos a legislação local e a regulamentação. Se você está ciente de qualquer vulnerabilidade ou ameaça, que possa afetar a infraestrutura da Vivo, entre em contato com nossa equipe de Resposta a Incidentes de Segurança (CSIRT Vivo) através do e-mail: csirt.br@telefonica.com.

Sobre o parâmetro V, a Vivo especifica as circunstâncias e condições do compartilhamento de dados com terceiros, tanto no contrato, como em seu Centro de Segurança, especificando que o compartilhamento somente ocorrerá para a prestação dos serviços contratados pelo cliente. Mesmo que o parâmetro tenha sido considerado atendido, ressaltamos que se trataria de boa prática informar para quais finalidades específicas os dados poderão ser compartilhados, inclusive nos casos de compartilhamentos de forma individualizada.

CLÁUSULAS GERAIS DO CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PÓS-PAGO:

20.3. A VIVO poderá divulgar e comercializar em lista (impressa ou digital) informações constantes em seu cadastro relativas ao CLIENTE, desde que este tenha autorizado a divulgação de seu nome e Código de Acesso, no Termo de Adesão ao Serviço Móvel Pessoal ou, ainda, por autorização verbal via serviço de “Call Center”, a qualquer tempo”.

Centro de privacidade (subseção “compartilhamento de dados”): A Vivo pode, eventualmente, apoiar um estudo de comportamento em eventos que promovam deslocamento de um público em determinada localização. Mas é importante ressaltar que, nesse caso, não é possível qualquer forma de individualização dessas informações. As informações individualizadas só vão ser compartilhadas com parceiros se você autorizar.

Seus dados podem ser compartilhados: Com parceiros sempre que relacionado com a prestação do serviço contratado por você (por exemplo, quando você está em roaming); Em casos previstos em lei e/ou por força de ordem judicial; Com parceiros, de forma individualizada, apenas com sua autorização expressa e sempre com a possibilidade de opt out.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Vivo obteve estrela cheia, pois atendeu a cinco parâmetros integralmente e a um parcialmente.

Relatório de Sustentabilidade (p. 21)

Buscamos garantir o compliance com a legislação e os marcos regulatórios em âmbito internacional, nacional e regional, a fim de antecipar tendências e mudanças que influenciam nossos negócios nos temas ambientais, na cadeia de fornecedores e nos tributos.

Informe de Transparencia del Grupo Telefónica (2018):

Define un procedimiento interno global común ante requerimiento de determinadas autoridades de acuerdo con la legislación de cada país y pretende garantizar la legalidad de dichos requerimientos y de los derechos fundamentales de los interesados en este tipo de procedimentos. Los Principios que rigen el proceso son Confidencialidad, Exhaustividad, Fundamentación, Respuesta Diligente y Seguridad. Nuestro compromiso es asegurar la participación en el proceso de áreas legales o áreas similares con competencias legales en la recepción de las peticiones. Contamos con interlocutores fijos como ventanilla única en nuestra relación con las autoridades competentes, de manera que rechazamos cualquier petición que no viene por este conducto reglamentario.

INTERCEPTACIÓN LEGAL (p. 14)

Autoridades competentes: De acuerdo con el artículo 3º de la Ley Federal brasileña n. 9.296/1996 (ley de las interceptaciones), solamente el Juez (de la esfera criminal) puede determinar las interceptaciones (telefónicas y telemáticas), a petición de la Fiscalía (Ministério Público) o Comisario de Policía (“Autoridade Policial”).

Contexto legal: Constitución de la República Federal de Brasil: Art. 5º; Ley Nº 9.296, de 24 de Julio de 1996; Resolución N ° 426 del 9 de diciembre de 2005; Reglamento de Servicio de Telefonía Fija – STFC. STF; Resolución N° 614 del 28 de mayo 2013; Reglamento de Servicio de Comunicación Multimedia.

ACCESO A METADATOS (p. 15)

Autoridades competentes:

Fiscalía, Comisarios de Policía y Jueces de cualquier esfera, como también Presidentes de las Comisiones Parlamentarias de Investigación: el nombre y dirección del usuario registrado (datos de abonado), así como la identidad de los equipos de comunicación (incluyendo IMSI o IMEI).

Jueces de cualquier esfera: los datos para identificar el origen y el destino de una comunicación (por ejemplo, números de teléfono, nombres de usuario para los servicios de Internet), la fecha, hora y duración de una comunicación y la localización del dispositivo. (em vermelho, alteração da redação)

Contexto legal: Constitución de la República Federal de Brasil: Art. 5º; Ley Nº 9.296, de 24 de Julio de 1996; Ley Nº 9.472, de 16 de julio de 1997. Art. 3; Ley Nº 12.683, de 9 de julio de 2012. Art. 17-B; Ley Nº 12.830, de 20 de junio de 2013. Art. 2; Ley Nº 12850 de 20 de agosto de 2013. Art. 15; Ley Nº 12965 de 23 de abril de 2014. Art. 7; 10 y 19; DECRETO Nº 8.771, de 11 de mayo de 2016. Art. 11; Resolución N° 426 del 9 de diciembre de 2005 / Reglamento de Servicio de Telefonía Fija – STFC. STFC. Art. 11; 22;23 y 24 / Resolución N° 477 del 7 de agosto de 2007/ Reglamento de Servicio Móvil Personal – SMP. Art. 6;10 ;12;13; 89 y 90. / Resolución N° 614 del 28 de mayo 2013/ Reglamento de Servicio de Comunicación Multimedia. Art. 52 y 53.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Vivo móvel obteve meia estrela nesta categoria, pois atendeu ao parâmetro I.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Vivo móvel não obteve estrela nessa categoria.

Declarações públicas de “Enylson Camolesi, diretor da Telefônica:

“Apoiamos a lei. O cidadão tem de estar no centro.”

“Para Camolesi, o pior cenário é acontecer uma série de vetos na sanção da lei, porque, nesse caso, pode-se ter um marco legal que não atende aos anseios da sociedade. ‘Como você vai fazer investimentos de longo prazo precisa ter um marco legal. Acreditamos na transparência e que o elemento central tem de ser a pessoa.’ ”

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Vivo obteve estrela cheia, pois atendeu ao parâmetro.

Pelo terceiro ano seguido, encontramos a publicação do Informe de Transparencia en las Comunicaciones de 2018, do Grupo Telefônica (documento em espanhol), em que há certo detalhamento sobre o conjunto regulatório em cada país no qual o grupo está presente, o número de requerimentos de dados que receberam em cada país entre 2013 e 2017 e, especialmente no caso do Brasil, quais são as autoridades que consideram competentes.

CATEGORIA: Notificação do usuário

Resultado:

A Vivo não obteve estrela, pois não há menção à possiblidade de notificação do usuário em qualquer um dos documentos analisados.

Ver a tabela

ALGAR

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Algar obteve estrela vazia, pois não atendeu a nenhum parâmetro.

Os contratos disponíveis da Algar não oferecem quase nenhuma informação sobre os dados coletados. Somente no Contrato de Prestação de Serviço de Banda Larga e na Política de Uso Aceitável podem ser encontradas quaisquer menções à privacidade e proteção de dados:

Contrato de Prestação de Serviço – Banda Larga: 4.1. Constituem obrigações da ALGAR TELECOM, além das demais dispostas neste instrumento, em seus anexos e na legislação em vigor: c) Respeitar a inviolabilidade e o sigilo da comunicação do CONTRATANTE.

Política de Uso Aceitável:

4.Privacidade do usuário. A Algar Telecom respeita a privacidade de seus clientes e usuários, mantendo as informações coletadas sob rígidos padrões de segurança e confidencialidade. Quaisquer informações que forem passadas à Algar Telecom pelos usuários serão coletadas por meios éticos e legais.

O InternetLab considera essa redação demasiado genérica, cabendo aperfeiçoamento. Por exemplo, recomendaríamos a inclusão de informações sobre quais dados são coletados e de que forma, qual a finalidade da coleta, com quais terceiros e para quais finalidades eles serão compartilhados, quais os direitos dos consumidores sobre seus dados e de que forma os exercer etc.

Por fim, não encontramos quaisquer ambientes no site da Algar, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos a facilidade do acesso aos contratos em seu site, visíveis no menu “atendimento”. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Algar obteve ¼ de estrela, pois atendeu apenas a um parâmetro.

Na cláusula 4.1. do Contrato de Prestação de Serviço de Banda Larga, a empresa se compromete a respeitar as obrigações decorrentes da legislação em vigor e a inviolabilidade e o sigilo da comunicação do contratante.

Essa redação não esclarece ao usuário, no entanto, o tratamento a que estão submetidos seus dados cadastrais, dados de localização e registros de conexão. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes, nas hipóteses previstas em lei. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas práticas e interpretações, no que diz respeito a pedidos de quebra de sigilo, assim como qual o seu entendimento do que considera registros de conexão. Também no que diz respeito a dados de geolocalização, a empresa deve fornecer informações claras sobre as hipóteses e as autoridades a quem concede acesso.

Como alertamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Dada a omissão, os demais parâmetros não foram considerados atendidos.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Algar obteve estrela vazia, pois não atendeu nenhum parâmetro.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas novas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. A Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações. O parâmetro não foi, por isso, atendido.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo, a fim de identificar ações nas quais a Algar defendesse usuários ou contestasse pedidos abusivos. Não foram identificadas quaisquer ações que atendessem aos critérios de busca.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Algar não obteve estrela nessa categoria.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Algar obteve estrela vazia, pois não atendeu aos parâmetros.

A Algar publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e atendidos.

CATEGORIA: Notificação do usuário

Resultado:

A Algar não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

Ver a tabela

NEXTEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Nextel obteve estrela vazia, pois atendeu apenas ao parâmetro V.

O contrato de prestação de serviços da Nextel não oferece quase nenhuma informação sobre os dados coletados. Apenas quanto ao parâmetro V, a empresa fornece informações, alcançando algumas possibilidades do acesso a dados por terceiros e quais as finalidades desses compartilhamentos.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL: 7.1. Além dos direitos previstos nas demais cláusulas deste instrumento e na normatização de regência, o Assinante poderá: a. Ter as informações relativas ao próprio Assinante e constantes do cadastro da NEXTEL, inclusive o Código de Acesso, mantidos em sigilo, as quais somente poderão ser fornecidas nas seguintes hipóteses: (i) ao próprio Assinante ou procurador munido de procuração com poderes específicos para acessar tais informações; (ii) para fins de divulgação em listas de assinantes em meio impresso ou digital, serviços de auxílio a lista e similares, desde que o Assinante tenha autorizado a divulgação do seu nome e Código e Acesso; (iii) para agência especializada ou banco de dados em face do inadimplemento de obrigações contratuais; (iv) em decorrência de determinação administrativa ou judicial.

Relevante ressaltar também que, sob a “política de privacidade” disponível no endereço eletrônico da empresa, é possível encontrar dispositivos que dizem respeito à privacidade, mas somente no âmbito do uso do site. Por isso que os parâmetros que conformam esta categoria não foram considerados atendidos.

A nossa Política da Privacidade foi criada para reafirmar o compromisso da NEXTEL com a segurança e a privacidade das informações coletadas dos usuários de seus produtos e serviços e referente às páginas públicas do site www.nextel.com.br. Dessa forma, desenvolvemos uma Política de Privacidade que dispõe sobre a maneira como nós obtemos, usamos, divulgamos, transferimos e armazenamos suas informações. Por favor, verifique as nossas práticas de privacidade e nos informe caso tenha quaisquer questionamentos. (…)

O uso do site pressupõe a aceitação desta Política de Privacidade. Caso o CLIENTE Nextel discorde das condições do presente documento, basta não acessar ou utilizar os serviços disponíveis no site, não havendo, portanto, qualquer obrigação da NEXTEL em relação às informações do usuário.

Quanto ao parâmetro VI, por mais que a cláusula 7.1. do contrato, transcrita acima, mencione a possibilidade de acesso aos dados pelo próprio assinante, tal redação foi considerada pelo InternetLab como demasiado ampla e genérica. Isso porque a cláusula não menciona especificamente os direitos dos consumidores sobre seus dados sob a legislação vigente (como o de retificação e apagamento), nem fornece meios específicos para o exercício de tais direitos. Por isso, o parâmetro não foi considerado atendido.

Por fim, não encontramos quaisquer ambientes no site da Nextel, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

Além disso, notamos ainda que há significativa dificuldade para encontrar o contrato de prestação de serviços no site, dado que não há link para os regulamentos e contratos na página com informações acerca dos planos. É necessário acessar o FAQ e usar o mecanismo de busca do site ou buscadores externos para encontrá-los.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Nextel obteve estrela vazia, pois atendeu apenas parcialmente ao parâmetro II, ao afirmar, em seu contrato, que os dados poderão ser disponibilizados a terceiros em função de determinação administrativa ou judicial. No entanto, não assegura obedecer à legislação nem faz distinção de quais dados podem ser disponibilizados, a que autoridades ou em que circunstâncias isso pode ocorrer.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL:

7.1. Além dos direitos previstos nas demais cláusulas deste instrumento e na normatização de regência, o Assinante poderá:

a. Ter as informações relativas ao próprio Assinante e constantes do cadastro da NEXTEL, inclusive o Código de Acesso, mantidos em sigilo, as quais somente poderão ser fornecidas nas seguintes hipóteses (…)

(i) ao próprio Assinante ou procurador munido de procuração com poderes específicos para acessar tais informações;

(ii) para agência especializada ou banco de dados em face do inadimplemento de obrigações contratuais; e,

(iii) em decorrência de determinação administrativa ou judicial.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Nextel obteve estrela vazia, pois não atendeu nenhum parâmetro.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. Por isso, não foi considerado cumprido o parâmetro I.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e não conseguimos encontrar resultados nos quais a empresa tenha contestado pedidos abusivos de autoridades estatais.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Nextel não obteve estrela nessa categoria.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Nextel obteve estrela vazia, pois não atendeu aos parâmetros.

Em buscas no endereço eletrônico da empresa, não foram encontrados quaisquer documentos com as referidas informações.

CATEGORIA: Notificação do usuário

Resultado:

A Nextel não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

Ver a tabela

SKY

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Sky obteve meia estrela, pois atendeu apenas aos parâmetros I, II e V.

Em seu contrato referente às “Condições Gerais de Assinatura”, a empresa estabelece na cláusula 7, como obrigação do cliente, o compartilhamento de determinados dados, especificando quais são estes e em quais momentos se dá a coleta. Além disso, as cláusulas de 19.1 a 19.3 deste contrato, assim como as cláusulas de 15.1 a 15.3 das Condições gerais da prestação do serviço de comunicação, dão as diretrizes genéricas sobre os usos de tais dados, de forma que o parâmetro I foi considerado cumprido.

Condições Gerais de Assinatura: 7. Obrigações do cliente: enviar cópia de documentos de identificação pessoal, tais como RG, CPF, comprovante de endereço, de titularidade de conta bancária e de cartão de crédito, dentre outros, tanto no momento da contratação quanto em momento posterior desde que quando solicitado pela Sky.

19.1. Serão coletados os dados de identificação fornecidos pelo CLIENTE (tais como: nome, endereço, RG e CPF, números de telefone e endereços de e-mail) e dados relativos à prestação dos Serviços Sky tais como histórico de produtos utilizados ou adquiridos, valores dispendidos pelo CLIENTE, número de televisores e seus hábitos de compra/consumo.

19.2. Fica desde já certo e ajustado entre as PARTES que a coleta e o uso de dados mencionada acima ocorrerá única e exclusivamente para proporcionar ao CLIENTE a melhor experiência dos serviços SKY.

19.3. os dados mencionados na cláusula 19.1. acima serão transferidos apenas para empresas parceiras e/ou fornecedoras da SKY, sendo certo que tais empresas firmam com a SKY termos de confidencialidade nos quais se comprometem a não repassar à terceiros os dados colhidos dos clientes SKY.

Quanto ao parâmetro II, as mesmas cláusulas mencionadas acima estabelecem que “a coleta e o uso de dados mencionada acima [serve somente] para proporcionar ao CLIENTE a melhor experiência.” Os Termos e Condições de Uso do SKY online, ainda, estabelece em sua cláusula 9.1.1. quais as finalidades do cadastramento e manutenção de dados pessoais nesse serviço. A Política de Privacidade e as Condições gerais de assinatura para clientes SKY empresas também estabelecem diretrizes sobre as finalidades de uso dos dados, de forma que o parâmetro foi considerado atendido.

Termos e condições de uso – SKY online: 9.1.1. O cadastramento e manutenção dos Dados Pessoais têm como finalidade o estabelecimento do vínculo contratual, a gestão, administração, prestação, ampliação e melhoramento dos serviços, conteúdos e facilidades aos USUÁRIO, bem como o envio de informações técnicas, operacionais e comerciais relativas ao SKY ONLINE contratado.

Condições gerais de assinatura para clientes SKY empresas: 17.4. O CLIENTE cede gratuitamente seus dados cadastrais à SKY e empresas pertencentes a seu grupo econômico, para utilização em material destinado à publicidade e formação de seu cadastro de CLIENTES, respeitado o sigilo garantido pela legislação.

17.5. A SKY respeita a privacidade dos dados pessoais fornecidos pelos CLIENTES, utilizando-se destes apenas para os fins objeto deste Contrato, nos termos de legislação vigente. O CLIENTE autoriza, desde já, o compartilhamento desses dados a empresas parceiras fornecedoras de serviços da SKY, que trabalham com a SKY ou em nome da SKY vinculados a acordos de confidencialidade.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, tampouco sobre quando e se são apagados. O item não foi considerado, por isso, atendido.

Quanto ao parâmetro IV, por mais que a Política de Privacidade afirme que “por mais que o nosso sistema seja seguro, nenhum sistema de segurança é completamente impenetrável”, não conseguimos localizar qualquer informação específica sobre quais práticas de segurança observa na guarda de dados, se há política de anonimização de dados ou, de forma específica, quem tem acesso aos dados. O parâmetro, portanto, não foi considerado atendido.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, considerou-se que foi atendido. Isso porque as cláusulas 19.3 e 17.5 dos contratos transcritos acima fazem menção específica ao compartilhamento de dados com terceiros, apontando a imposição de limites por meio dos termos de confidencialidade e das finalidades expressas contratualmente.

Ressaltamos, no entanto, que a Cláusula 9.2.1. dos Termos e Condições de uso do SKY online estabelece de maneira genérica a possibilidade de envio de dados de clientes “para a formação de seu cadastro de usuário” a empresas parceiras, redação demasiado genérica e com pouco valor protetivo ao consumidor. Recomendaríamos, como boa prática, que também nesse serviço as possibilidades e finalidades dos compartilhamentos fossem especificamente estabelecidas.

Termos e condições de uso – SKY online: 9.2.1. O USUÁRIO cede gratuitamente seus Dados Pessoais à SKY e empresas pertencentes ao seu grupo econômico, para envio de informações e emails sobre a SKY ou suas empresas parceiras e para a formação de seu cadastro de USUÁRIOS, respeitando o sigilo garantido em lei,

Por fim, não encontramos quaisquer ambientes no site da Sky, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Mesmo que exista tal ambiente no site da AT&T, as informações lá contidas são bastante restritas e em inglês, e não se encontram facilmente disponíveis a consumidores brasileiros. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que há facilidade para achar os contratos no site da empresa. Estão disponíveis no rodapé da página inicial (“contratos gerais” e “contratos pré-pago”), assim como a política de privacidade. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Sky obteve ¼ de estrela, pois atendeu integralmente ao parâmetro I e parcialmente ao parâmetro II, de forma a totalizar o equivalente a 1,5 parâmetros.

No relatório de transparência de 2018 da AT&T, a empresa promete “proteger sua privacidade em conformidade com as leis aplicáveis.” Além disso, nos Termos e Condições de uso do SKY online, promete que a requisição de dados por uma autoridade pública deve ser “devidamente fundamentada”. Em outros momentos também promete seguir a legislação vigente na proteção da privacidade de seus usuários, como na cláusula 17.5 transcrita no item 1 acima. Em vista disso, o parâmetro I foi considerado atendido.

Relatório de Transparência: Na AT&T, assumimos a responsabilidade de proteger sua informação e privacidade com muita seriedade. Empregamos nossos melhores esforços e compromisso de proteger sua privacidade em conformidade com as leis aplicáveis.

Termos e condições de uso – SKY online: 9.3. Havendo solicitação formal, por qualquer Autoridade Pública, devidamente fundamentada, o USUÁRIO autoriza expressamente a SKY a encaminhar os dados cadastrais solicitados, independente de notificação prévia ao USUÁRIO.

Nos mesmos trechos mencionados acima, a empresa promete também somente entregar os dados às autoridades mediante pedido devidamente fundamentado. No entanto, o texto faz referência a “qualquer autoridade pública”, sem diferenciar qual delas entende por competente, nem quais poderiam realizar tais pedidos. Em vista disso, o parâmetro II foi considerado parcialmente atendido, enquanto os parâmetros III e IV, pelas mesmas razões, foram considerados não atendidos.

A empresa não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado, tampouco especifica seu entendimento quanto ao que constituem registros de conexão, não atendendo, portanto, os parâmetros V e VI. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo. Tal clareza deve alcançar também as previsões acerca de dados de localização.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados, conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a Sky informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Sky obteve estrela vazia, pois não atendeu nenhum parâmetro.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. Por isso, não foi considerado cumprido o parâmetro I.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Sky não obteve estrela nessa categoria.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Sky obteve meia estrela, pois atendeu ao parâmetro I.

Encontramos a publicação do Relatório de Transparência da AT&T de 2018, em que há certo detalhamento sobre o número de requerimentos de dados que receberam em cada país onde o grupo atua em 2017.

Estes pedidos são de informação histórica/dados cadastrais dos assinantes e negócios que operam e pedidos de bloqueio de URL/IP pelas entidades governamentais. No brasil, foram feitos os seguintes pedidos: Informações históricas: dados cadastrais do assinante: 234 pedidos (1º semestre de 2017) / 339 (2º semestre de 2017). Bloqueio de IP/URL: 2 pedidos (1º semestre de 2017) e 1 (2º semestre de 2017).

Assim, o parâmetro I foi considerado atendido. No entanto, por não haver informações mais detalhadas no relatório, por exemplo sobre a quantidade de pedidos atendidos e quais as autoridades que considera competentes para tal, o parâmetro II não foi considerado atendido.

CATEGORIA: Notificação do usuário

Resultado:

A Sky não obteve estrela, pois afirma especificamente, na cláusula 9.3. dos Termos e Condições de Uso do SKY Online, que fornecerá dados às autoridades públicas, mediante pedido justificado, independentemente de notificação ao usuário.

/Apresentação

/Quem Somos

/Nosso Método

Seleção das empresas avaliadas

Metodologia aplicada

CATEGORIA 1: Informações sobre tratamento de dados

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA 2: Informações sobre condições de entrega de dados a agentes do Estado

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA 3: Defesa da privacidade dos usuários no Judiciário

Padrões de desempenho

CATEGORIA 4: Posicionamento público pró-privacidade

Padrões de desempenho

CATEGORIA 5: Relatório de transparência sobre pedidos de dados

Quais foram os parâmetros de avaliação?

Padrões de desempenho

CATEGORIA 6: Notificação do usuário

Qual foi o parâmetro de avaliação?

Padrões de desempenho

/Nossas Fontes

CLARO/NET

OI

TIM

VIVO

ALGAR

NEXTEL

SKY

/Resultados

CLARO

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

NET

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

OI Banda Larga

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

OI – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

TIM – Banda Larga

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

TIM – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

VIVO – BANDA LARGA

CATEGORIA: Informações sobre tratamento de dados

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

CATEGORIA: Posicionamento público pró-privacidade

CATEGORIA: Relatório de transparência sobre pedidos de dados

CATEGORIA: Notificação do usuário

VIVO MÓVEL

CATEGORIA: Informações sobre tratamento de dados