Decreto que regulamenta o marco civil da internet


PorLahis Kurtz- Postado em 13 maio 2016

Foi assinado ontem, pela então ainda em exercício presidenta Dilma Roussef, o Decreto 8.771 de 11 de maio de 2016, que regulamentou o Marco Civil da Internet.

Assim como qualquer outra legislação que tentou impor antes algum tipo de regra sobre a internet, já circulam diversas opiniões sobre seu teor - ouvi alguém dizer neutralidade da rede? Zero rating? Anatel?

Tentar impor expectativas de conduta num ambiente tão complexo é sempre desafiador. Mas parece ser uma tendência, ainda que conte com suas peculiaridades em relação a propostas normativas usuais - como o fato de o decreto ter ficado aberto a contribuições na própria internet (aqui), lembrando o próprio Marco Civil.

Mas aqui vamos tentar algo novo: entender melhor antes de sair "dando like" ou "xingando no twitter".

O regulamento, esquematizado:

A quem ele se destina? Todos os provedores de internet e de suas aplicações ["responsáveis pela transmissão, pela comutação ou pelo roteamento e aos provedores de conexão e de aplicações de internet"]

O que ele regulamenta? São 5 assuntos, basicamente, e que podem ser agrupados em 2 categorias:

1) Neutralidade da rede - "tratar de forma isonômica quaisquer pacotes de dados" (Marco Civil, art. 9º)

É como se a internet fosse feita de várias estradas que ligam a origem dos dados e o destino, e a regulamentação diria quando a companhia rodoviária pode abrir espaço numa via para alguém ou bloquear uma estrada para alguns tipos de fluxo - sendo que, em regra, todos estão na mesma via.

i) hipóteses [exceções] admitidas de discriminação de pacotes de dados na internet

e ii) hipóteses [exceções] de degradação de tráfego (Decreto, arts. 5º, 8º)

São em respeito a "requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações", ou "restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço".

Ou seja: discriminar pacotes detectados como spam e detectados como acessos feitos em massa a determinado site para derrubar um servidor.

e "tratamento de situações excepcionais de congestionamento de redes, tais como rotas alternativas em casos de interrupções da rota principal e em situações de emergência"

Ou seja: priorizar pacotes com determinado conteúdo que esteja sendo muito solicitado (art. 5º) e pacotes de dados que sirvam a comunicação e informação acerca de estados de emergência e calamidade (art. 8º).

Quem vai fiscalizar isso? [art. 5º, § 2o] "A Agência Nacional de Telecomunicações - Anatel [sim, é aqui que ela entra!] atuará na fiscalização e na apuração de infrações quanto aos requisitos técnicos elencados neste artigo, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr."

Como você saberá quando isso ocorre? "O responsável [...] deverá adotar medidas de transparência para explicitar ao usuário os motivos do gerenciamento que implique a discriminação ou a degradação" mediante "I - a indicação nos contratos de prestação de serviço firmado com usuários finais ou provedores de aplicação; e II - a divulgação de informações referentes às práticas de gerenciamento adotadas em seus sítios eletrônicos, por meio de linguagem de fácil compreensão".

Ou seja: o provedor tem de explicar, de forma que o cidadão entenda, especificando descrição, efeitos na qualidade do serviço e motivo e necessidade da prática.

* Embora esteja claro que as hipóteses permissivas tratam-se de exceções, o Decreto expressamente proibiu algumas outras discriminações, como prioridade decorrente de arranjos comerciais entre aplicações e provedor. Então foi proibido, por exemplo, que somente um tipo de dado - mensagens de determinado aplicativo - não tenha custo ao usuário? Tudo indica que não,[aqui que entra o zero rating!] o problema aqui seria colocar esses pacotes numa via mais rápida que outros fast lane - que não é o mesmo que zero rating (entenda a diferença lendo essa reportagem).

2) Tratamento de dados

iii) indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações

Que dados? O Decreto fala em dados cadastrais**, que são filiação, endereço, nome completo, estado civil e profissão.

O provedor está obrigado a guardá-los? Não, basta o provedor informar que não guarda esses dados e fica desobrigado de fornecê-los. (art. 11, § 1º, Decreto)

** os dados cadastrais podem vir acompanhados de dados pessoais (art. 10º, §1º, Marco Civil)

iv) aponta medidas de transparência na requisição de dados cadastrais pela administração pública

Como são fornecidos? Os pedidos devem dizer respeito a indivíduos específicos - autoridades não podem pedir dados de uma categoria inteira (todos os solteiros de Santa Catarina, por exemplo).

Como você sabe o quanto isso será útil? Dados anuais sobre quantidade de pedidos, a quem foram feitos, quantos foram deferidos e indeferidos e quantas pessoas foram afetadas deverão ser publicadas na internet pela autoridade requerente.

v) estabelece parâmetros para fiscalização e apuração de infrações contidas na Lei no 12.965, de 23 de abril de 2014.

Como os dados serão usados? Serão mantidos de forma estruturada e interoperável, para facilitar cumprimento de decisão judicial ou lei.

Como esses dados serão protegidos? "controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários; II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros; III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3o, da Lei nº 12.965, de 2014; e IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes."

Ou seja: serão adotadas medidas de controle sobre as pessoas com acesso a dados cadastrais, de forma que se possa saber qual funcionário acessou qual dado. Além disso, para impedir acesso de alguém não-autorizado, serão usadas medidas técnicas, como criptografia, que só permite acesso a quem tem a chave. Há possibilidade de falha humana [sempre], mas, caso ocorra, haverá meios de atribuir responsabilidade por ela.

Quem vai colocar em prática esses padrões de segurança? O CGIbr é responsável por estudar os melhores meios e recomendá-los.

Como você fica sabendo sobre os padrões de segurança? O Decreto manda que sejam divulgados a qualquer interessado, de preferência na internet.

Agora sim, estabelecido o chão, podemos construir debates! O que muda? O que pode ser melhorado/prejudicado pela vigência desse decreto? Deixe seu comentário caso queira compartilhar opinião ou mais material informativo sobre o assunto!

Fonte da imagem