O que muda com o decreto de regulamentação do Marco Civil?
Escrito por
Pedro Vilela Resende Gonçalves (Ver todos os posts desta autoria)
13 de maio de 2016
O Marco Civil da Internet completou em abril dois anos de sua promulgação. Considerada uma legislação inovadora pela forma como foi construída e como foram estabelecidas as garantias e deveres aos usuários e provedores de Internet, a Lei 12.965/2014 ainda possuía uma série de lacunas que deveriam ser preenchidas por um decreto de regulamentação, como a neutralidade de rede e a proteção de registros e dados pessoais.
O decreto que regulamenta o Marco Civil passou por um processo de consulta pública igual ao da própria lei, e completou com regras específicas alguns dos princípios estabelecidos. Na noite do dia 11 de maio, horas antes da votação do Senado que a afastou do cargo, a Presidenta Dilma Rousseff assinou o decreto nº 8.771/2016, que regulamenta o Marco Civil.
Analisaremos rapidamente os efeitos e as possiveis consequências do decreto, e como ele afetará a Internet brasileira.
Aplicação do decreto
O Decreto de Regulamentação do Marco Civil é iniciado com disposições gerais que determinam as situações e entidades aos quais se aplica. O Artigo 2º especificamente cita situações em que o decreto não se aplica.
Parágrafo único. O disposto neste Decreto não se aplica:
I – aos serviços de telecomunicações que não se destinem ao provimento de conexão de internet; e
Como sempre é lembrado, Internet não é telecomunicações. Por mais que utilize da mesma infraestrutura, trata-se de Serviço de Valor Adicionado, conforme Lei 9.472/1997.
II – aos serviços especializados, entendidos como serviços otimizados por sua qualidade assegurada de serviço, de velocidade ou de segurança, ainda que utilizem protocolos lógicos TCP/IP ou equivalentes, desde que:
a) não configurem substituto à internet em seu caráter público e irrestrito;
b) sejam destinados a grupos específicos de usuários com controle estrito de admissão.
Esse inciso levantou certas questões sobre o que seriam os Serviços Especializados mencionados, uma vez que sua menção vaga poderia criar brechas para iniciativas como por exemplo o Internet.org.
Deve-se entender esse inciso como se referindo, por exemplo, a Redes Virtuais Privadas (VPNs). VPNs não se confundem com a Internet, embora muitas vezes estejam a ela integradas ou utilizem de sua infraestrutura fisícia e lógica para conectar em uma mesma rede computadores fisicamente distantes. Em VPNs, por exemplo, é possível priorizar pacotes de VoIP para criar sistemas de telefonia via IP exclusivos aos usuários desta rede. Eles comunicam entre si por meio dela, mas não com Sistemas Autônomos externos. Assim, redes corporativas ou redes universitárias, por exemplo, que bloqueiem ou degradem pacotes internamente, não estariam sujeitas às regras de neutralidade dispostas no Decreto.
Neutralidade de rede
“Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.”
Um dos temas mais complicados do Marco Civil sempre foi a neutralidade de rede. O princípio prevê que pacotes de dados transportados entre provedores de conteúdo e usuários não possam ser discriminados em função de interesses comerciais. A ideia é de manter a natureza aberta e neutra da rede, onde todas as as aplicações conectadas são tratadas de forma isonômica no que diz respeito a seu tráfego por meio da infraestrutura física e lógica da Internet.
O princípio por si só, expresso no Artigo 9o do Marco Civil, entretanto, deixou em aberto algumas questões que foram resolvidas e esclarecidas pelo decreto.
Requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações e serviços de emergência
No Marco Civil da Internet, são mencionadas exceções nas quais a discriminação ou degradação de tráfego não viola o princípio da neutralidade de rede: requisitos técnicos indispensáveis e serviços de emergência.
O decreto elenca especificamente quais são estes requisitos técnicos indispensáveis, deixando clara sua excepcionalidade e propósito específico, que é o bom funcionamento da rede.
Esses requisitos nada mais significam que questões de balanceamento e ajustes técnicos essenciais à rede. A Internet nunca funcionou com um tráfego completamente neutro e indiscriminado dos pacotes de dados, na medida que os responsáveis por sua infraestrutura física e lógica sempre fizeram o possível para otimizá-la. Responsáveis pela rede sempre tiveram liberdade para fazer ajustes que não favoreciam um provedor de aplicações ou outro, mas a rede como um todo.
O exemplo mais clássico é sempre o da prioridade de pacotes de vídeo sobre pacotes de e-mail. Para um usuário de e-mail, o atraso de uma mensagem em frações de segundo não faz diferença nenhuma para o seu bom uso. Já para o usuário de vídeos, esse atraso pode fazer grande diferença. Não se trataria de violação da neutralidade de rede, portanto, que fosse feito esse favorecimento a todos os pacotes de dados de vídeos.
A outra exceção em que a discriminação e a degradação do tráfego pacotes pode ocorrer é em situações de emergência, que, de acordo com o decreto, são casos de desastre, emergência ou estado de calamidade pública. Novamente o decreto é bem taxativo, não deixando margem para abuso das orientações mais amplas criadas pelo Marco Civil.
O texto de lei conta ainda com dispositivos específicos autorizando a discriminação e degradação de tráfego como forma de manter a segurança, por exemplo, em casos de Ataque de Negação de Serviço.
1º Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de:
I – tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço; e
Não se deve confundir esse trecho com uma proibição ao uso de Ataque de Negação de Serviço (DDoS), mas apenas que os responsáveis pela segurança de uma rede que sofra desse ataque não estarão violando o princípio da neutralidade caso façam discriminação ou degradação de pacotes usados para DDoS.
Questões comerciais
A grande discussão em torno da neutralidade de rede, entretanto, sempre concerne questões comerciais e concorrenciais. Poderiam operadoras de telecomunicação priorizar o tráfego de pacotes de provedores de aplicação com quem estabelecessem acordos comerciais? Poderia um provedor de conexão cobrar mais para oferecer serviços de vídeo, ou poderia o YouTube fechar acordo com uma operadora para que os pacotes de dados de seus vídeos fossem transmitidos com maior velocidade que de outros serviços de streaming? Ou, em casos em que o provedor de conexão também oferece serviços de conteúdo, poderia ele favorecer seus próprios produtos?
Art. 9º Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, pela comutação ou pelo roteamento e os provedores de aplicação que:
Em harmonia com o que já havia sido estabelecido em princípio pelo Marco Civil, o decreto veda várias hipóteses nesse caso.
I – comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, os princípios e os objetivos do uso da internet no País;
Esse trecho vem como resposta à proposta do Internet.org, programa do Facebook que buscava oferecer uma conexão limitada gratuita a populações remotas e de baixa renda. O programa, entretanto, não dava acesso a toda a Internet, mas apenas a certos sites e aplicativos de baixo consumo de dados. A iniciativa foi criticada por violar a neutralidade de rede (ao bloquear dados vindos de outras fontes que não as pré-definidas pelo programa) e por um suposto potencial de alienação dessas populações em relação ao que seria a Internet – tanto que, face a críticas, o programa mudou seu nome para Free Basics. Esse inciso parece ter sido pensado com o Internet.org em mente.
II – priorizem pacotes de dados em razão de arranjos comerciais; ou
Esse inciso aborda o caso mais clássico de violação da neutralidade de rede: um provedor de aplicação faz um acordo com um provedor de conexão para que seu produto seja priorizado no tráfego de dados. Essa possibilidade fica então vedada. A preocupação com esse tipo de arranjo decorre de seu potencial para travar a inovação: a Internet se desenvolveu em um ambiente de neutralidade (mesmo que não reforçada por lei) em que os custos de entrada no mercado de aplicações sempre foi baixo e havia, em matéria de tráfego, igualdade entre aplicações novas e aquelas já estabelecidas. A discussão, portanto, passa também por questões concorrenciais.
Assim, se o Netflix decidisse fechar acordo com a Vivo para que seus dados fossem transmitidos com maior velocidade que outros serviços de streaming de video, estaria em violação da neutralidade de rede.
III – privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela comutação ou pelo roteamento ou por empresas integrantes de seu grupo econômico.
Um outro caso clássico de violação da neutralidade de rede é o que ocorre quando um provedor de conexão faz parte do mesmo grupo econômico que um provedor de conteúdo, e por isso o favorece. A NET, por exemplo, oferece o serviço de streaming NET Now, análogo por exemplo ao Netflix. Poderia, portanto, degradar ou mesmo bloquear o tráfego de dados do último em favor de seu próprio, criando uma barreira injusta. A falta de opções no mercado e custos contratuais fazem com que nem sempre seja possível ao usuário simplesmente trocar de operadora em um caso como esse, de forma que o consumidor seria obrigado a escolher dos males o menor.
Atualmente, o modelo de franquia limitada e zero rating contraria o princípio da neutralidade de rede pois, mesmo após esgotamento da banda, certos aplicativos parceiros continuam funcionando. Há, então, discriminação de pacotes em função de acordos comerciais.
Com o Decreto, essa prática está proibida. Pode-se discutir, entretanto, se a neutralidade estaria violada caso esse modelo fosse alterado para um em que a velocidade fosse apenas reduzida uma vez que o limite de franquia fosse atingido, se a velocidade dos pacotes de aplicativos parceiros fosse reduzida junto com a de todos os demais. Não haveria, então, priorização de pacotes de dados desses aplicativos, mas eles apenas não contribuiriam para o esgotamento que levaria à diminuição da velocidade.
Entretanto, o artigo final dessa seção é extremamente principiológico e pode ser entendido como uma restrição até mesmo a esse modelo acima citado:
Art. 10. As ofertas comerciais e os modelos de cobrança de acesso à internet devem preservar uma internet única, de natureza aberta, plural e diversa, compreendida como um meio para a promoção do desenvolvimento humano, econômico, social e cultural, contribuindo para a construção de uma sociedade inclusiva e não discriminatória.
Guarda de registros e proteção de dados
Outro ponto abordado pelo decreto diz respeito à proteção de registros, dados pessoais e comunicações privadas. O tema é de grande relevância principalmente após as recentes polêmicas envolvendo a Justiça brasileira e o WhatsApp, que decorreram justamente de questões envolvendo requisição de dados pela justiça de comunicações feitas por meio do aplicativo. O decreto estabelece então a forma como essas requisições devem ser feitas e os padrões de segurança que devem ser adotados pelos provedores de conexão e aplicação que coletam, armazenam e tratam dados de usuários.
Requisição de dados cadastrais
A primeira seção descreve como autoridades administrativas devem proceder para requisitar dados de provedores. Essas autoridades administrativas não são definidas claramente nem pelo Marco Civil, nem por seu decreto. Uma razão para isso é a de que a autoridade administrativa em questão pode não ter sido ainda instituída. Na maioria dos países da Europa, junto com as legislações de proteção de dados pessoais há também uma Autoridade de Proteção de Dados, responsável por fiscalizar quaisquer instituições que lidam com dados de cidadãos e garantir que estejam cumprindo padrões de segurança. O Projeto de Lei de Proteção de Dados Pessoais, enviado ao Congresso na mesma data da assinatura do Decreto, também menciona uma autoridade deste tipo em seu texto.
O Artigo 10º do Marco Civil, que o Decreto regulamenta, estabelece algumas condições em que os dados devem ser entregues a autoridades por motivos diversos e princípios de privacidade gerais.
O Decreto inova ao definir exatamente o que seriam Dados Cadastrais: I) Filiação, II) Endereço e III) Nome, Sobrenome, Estado Civil e Profissão. É uma definição importante, principalmente em face do Projeto de Lei que tenta equivocadamente incluir o IP de um usuário neste rol.
Um ponto interessante dessa seção é que ela estabelece que as autoridades devem especificar de quem são os dados solicitados, não podendo portanto requisitar dados coletivos por meio de pedidos genéricos e não específicos.
Ela também estabelece a obrigação por parte de órgãos administrativos que publiquem Relatórios de Transparência governamentais, detalhando número de pedidos, provedores e usuários envolvidos:
Art. 12. A autoridade máxima de cada órgão da administração pública federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo:
I – o número de pedidos realizados;
II – a listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
III – o número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e
IV – o número de usuários afetados por tais solicitações.
Padrões de segurança e de sigilo
Em seguida, o Decreto estabelece deveres de diligência e segurança que devem ser tomados pelos provedores que lidam com dados e registros, através de diversas diretrizes que visam a garantir maior segurança e controle aos usuários cujos dados são coletados e armazenados.
Um avanço importante estabelece que esses provedores devem definir especificamente os indivíduos responsáveis em sua estrutura pelo acesso e cuidado desses dados: não poderia ser uma obrigação a um grupo de pessoas não especificadas. Além disso, cria o dever de segurança e de individualização desse indivíduo com acesso aos registros de dados, determinando que devem utilizar mecanismos de autenticação dupla (mais conhecida como Two-Factor Authentication). Exige também um inventário de quem acessou os registros por qualquer razão e quando. Por fim, recomenda uma gestão segura, por meio de técnicas como a de criptografia.
Esse último ponto é interessante, pois pela primeira vez uma legislação brasileira trata diretamente de criptografia, inclusive encorajando-a. O que havia anteriormente eram menções indiretas a técnicas de segurança que poderiam ser interpretadas como criptografia, ou a menção de chaves criptográficas para processos de certificação digital.
O Decreto estabelece outro dever notável: os provedores devem reter dados pessoais pelo mínimo de tempo necessário após a expiração de sua finalidade, ou prazo legal original.
Fiscalização e transparência
A parte final do Decreto versa sobre diversas atribuições de competência para a apuração e fiscalização de infrações, nomeando especificamente a Anatel, a Secretaria Nacional do Consumidor e o Sistema Brasileiro de Defesa da Concorrência.
Sobre esses órgãos e entidades, recai um dever de agir cooperativamente em sua atuação nos assuntos relacionados ao Decreto.
O papel do Comitê Gestor da Internet no Brasil
É notável a forma como o CGI.Br foi mencionado por diversas vezes ao longo de todo o texto, sendo citado em praticamente todas as seções como entidade cujas diretrizes técnicas devem ser observadas ou cujo posicionamento deve ser consultado em questões relevantes de interesse público em relação à Internet. Também é mencionado como órgão responsável pela realização de estudos que visem recomendar procedimentos, normas e padrões técnicos diversos.
Conclusão
As inovações decorrentes do Decreto foram predominantemente positivas, na medida em que esclarecem pontos nebulosos do Marco Civil, que ainda deixavam brechas para a violação de princípios como o da neutralidade de rede. Espera-se que com esse decreto se reduzam inseguranças jurídicas que acarretavam situações como a prisão do Vice-Presidente do Facebook na América Latina e os recorrentes bloqueios ao WhatsApp, ou mesmo as polêmicas acerca da limitação das franquias de dados e a questão do zero-rating.
Restam, entretanto, algumas dúvidas que permanecem sujeitas à interpretação doutrinária e jurisprudencial. Uma delas é se provedores de conexão violariam a neutralidade de rede ao adotar modelos de negócio com franquias limitadas, que, quando esgotadas, apenas levariam à redução da velocidade da conexão.
Escrito por
Pedro Vilela Resende Gonçalves (Ver todos os posts desta autoria)
Fundador do Instituto de Referência em Internet e Sociedade, é graduando em Direito pela Universidade Federal de Minas Gerais. É coordenador e pesquisador do Grupo de Estudos em Internet, Inovação e Propriedade Intelectual. Alumni da 2a turma da Escola de Governança da Internet do Brasil. Membro do Observatório da Juventude da Internet Society.