Queira o Sr. Perito explicar como utilizar o Marco Civil da Internet de forma estratégica

Ninguém discute que o papel dos CIOs está mudando.  O líder operacional, focado em manter “as coisas” integradas e funcionando (o “CIO Operacional”), passará, paulatinamente, à posição de executivo estratégico, voltado menos às questões estruturais do que à conexão da utilização da TI com as visões e desafios estratégicos do negócio (o “CIO Estratégico”).

O fato é que a gestão em TI não se resume mais a “como fazer melhor”. Segundo Ted LevittPassou para outro patamar; o de ciência focada tanto em evitar, quanto em criar surpresas estratégicas. Não me censuro para afirmar que este deve ser o mindset do profissional de TI que queira evoluir na carreira, ou mais importante, evitar sua própria obsolescência.

Interligados entre si, são três os principais motivos para essa mudança importante de paradigma profissional: (i) por sua capacidade de gerar eficiência e inovação, a TI passou a estar em todos os negócios. Acreditar, ainda, na dicotomia entre negócios digitais e analógicos é, para dizer o mínimo, uma desatenção; (ii) como colocado pela própria IBM, o advento recente de negócios e tecnologias disruptivas, tais como cloud computing, big data, mobility, BYOD, social business e IoT, cria um ambiente de geração de valor poderoso demais para que se deixe de enxergar o papel estratégico da TI; e (iii) o incremento do papel da segurança da informação como elemento obrigatório para a preservação de ativos estratégicos e da continuidade dos negócios.

Os números não me deixam mentir. Volta e meia me deparo com pesquisas especializadas concluindo que os CEOs têm se interessado em investir mais em cada uma das frentes indicadas acima.

E porque um advogado está me dizendo isso tudo? Para pensar e agir estrategicamente – e isto serve para qualquer área de atuação – é indispensável conhecer a lei. Embora não seja a primeira (e não será a última) a afetar o dia-a-dia do CIO, a Lei no 12.965/2014 ou Marco Civil da Internet (MCI), é, até o momento, aquela que trouxe o maior impacto.

O MCI entrou em vigor em 23/07/2014 e, basicamente, se sustenta em três princípios, os quais compõem o chamado “Tripé da Lei”: (i) a neutralidade de rede; (ii) a responsabilidade civil na Internet; e (iii) a privacidade.

Neutralidade de Rede

A neutralidade de rede é o princípio pelo qual o tráfego na Internet não pode sofrer, exceto por justificativas técnicas e para a priorização de serviços de emergência, qualquer discriminação ou tratamento não isonômico. Bloqueios, monitoramento, filtros ou análise de conteúdos constituem exceções, justificando-se apenas para assegurar o bom funcionamento da rede.

Por este princípio, os provedores de conexão à Internet não podem fazer distinção entre os pacotes de dados cursados na Internet. Por exemplo, ao prover a conexão a determinado usuário, o provedor não poderia, a um só tempo, permitir o tráfego de dados de e-mail e bloquear pacotes de vídeo (sob a justificativa de serem mais pesados). Colocado de outra forma, para que seja livre, a Internet deve ser cega no que respeita ao conteúdo que nela trafega.

Responsabilidade Civil na Internet

O MCI isentou, a priori, os provedores de aplicação de responsabilização civil pela veiculação de conteúdo ilegal gerado por terceiros, de modo que esses somente passarão a ser co-responsáveis por indenizar a parte prejudicada por conteúdo ilegal caso descumpram ordem judicial determinando a retirada do ar.

Esta regra, entretanto, não se aplica à violação de direitos de autor ou direitos conexos (que dependerá de regulação própria) ou no caso de divulgação, sem autorização, de materiais contendo cenas de nudez ou atos sexuais de caráter privado.  Nesse segundo caso, que abarca a chamada “vingança pornográfica”, o conteúdo deverá ser retirado mediante simples notificação do ofendido (o “Notice and Takedown”) o que, aliás, era a regra geral antes do MCI.

Tanto a neutralidade de rede, quanto a responsabilidade civil na Internet têm pouca ou nenhuma relevância para a maioria dos profissionais de TI.  Isto porque, seus maiores impactos serão sentidos em setores específicos, quais sejam, o de telecom, quanto à questão da neutralidade, e o das aplicações que permitem a publicação de conteúdo por terceiros (e.g. redes sociais, plataformas de vídeo e música, portais, blogs e sites de leilão), quanto à questão da responsabilidade civil.  Já a questão da privacidade, principalmente a de dados pessoais, afeta a maioria dos CIOs.

Privacidade em Geral

O MCI trouxe um novo regime institucional em matéria de preservação do direito à privacidade no Brasil, tema, este, no qual o país se encontrava desproporcionalmente defasado. Éramos o único país membro do G20 que não contava com regulação específica. A título de comparação, legislações federais de outros países já vinham tratando do assunto desde a década de 1970 (e.g. Suécia, 1973; EUA, 1974; Alemanha, 1977; França, 1978).

A Lei cuidou da privacidade sob três aspectos: (i) o da inviolabilidade do conteúdo das comunicações via web (“o quê”); (ii) o da guarda dos registros (ou logs) de conexão e acesso (“onde, quem e quando”); e (iii) o da proteção aos dados pessoais do internauta (outras informações, inclusive sensíveis, sobre “quem”).  É bastante comum a confusão entre cada um desses elementos. Embora não seja perfeita, a analogia com a correspondência física facilita as coisas, especialmente para o entendimento das diferentes formas de proteção que a Lei confere a cada uma dessas informações.

Grosso modo, uma carta contém três conjuntos de informações distintos: (i) a carta em si (o conteúdo da comunicação); (ii) a data de sua postagem – e, em alguns casos, a de seu recebimento -, bem como seu remetente (os logs de conexão e acesso); e (iii) o nome e endereço, tanto do remetente, quanto do destinatário (os dados pessoais).  Como adiantado, o MCI confere proteções (e exige obrigações) diferentes em relação a cada um desses conjuntos de dados.

Assim como em uma carta, o conteúdo da comunicação goza de alto grau de proteção, podendo ser divulgado a terceiros somente mediante ordem judicial e, ainda assim, para finalidades específicas. Os logs de conexão e acesso, por sua vez, contam com proteção mais branda, já que sua divulgação pode ser não apenas autorizada pelo juiz, mas também provocada por pedido de autoridades administrativas (e.g. policia). Já os dados pessoais podem ser obtidos por todas as formas anteriores, mas também pelo consentimento expresso do internauta.

É importante notar que o MCI, com o principal objetivo de permitir identificar internautas e atos ilegais, não apenas protegeu a privacidade em relação aos logs de conexão e acesso, mas também estabeleceu obrigações de guarda. Sob pena da aplicação de penalidades, aos provedores de conexão (telecoms) caberá a guarda, pelo prazo de um ano, do chamado “registro de conexão” que, de acordo com a Lei, consiste no “conjunto de informações referentes à data e hora de início e término de uma conexão à Internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados” (importante notar que o registro guardado não deverá abarcar os sites acessados ou aplicações utilizadas). Já em relação ao provedor de aplicações, o MCI prevê a obrigação de guarda pelo prazo de seis meses dos chamados “registros de acesso a aplicações de Internet”, assim entendidos como o conjunto das informações referentes à data e hora de uso de uma aplicação de Internet a partir de um determinado endereço IP.

À semelhança do que dissemos em relação à neutralidade de rede e à responsabilidade civil na Internet, tanto as regras de privacidade em relação aos conteúdos e aos logs, quanto as obrigações associadas à guarda de logs, têm mais impacto para os profissionais de TI do setor de telecom e para que aqueles que atuam em determinados negócios digitais.

É, portanto, a questão da privacidade de dados pessoais que afetará, de forma mais significativa, a vida de todo CIO. Não apenas porque se aplica a toda e qualquer empresa que interaja com o consumidor/internauta via web, mas também porque envolverá regras complexas, exigindo, inclusive, a implantação de regras de compliance.

Compliance em Privacidade de Dados Pessoais

A Lei criou os seguintes direitos para o consumidor/internauta (titulares dos dados pessoais):

  1. à inviolabilidade da intimidade e vida privada e de seus dados pessoais;
  2. que a coleta, uso, armazenamento e tratamento de seus dados pessoais somente se dê a partir de seu consentimento expresso;
  3. ao não fornecimento a terceiros de seus dados pessoais, salvo mediante consentimento livre, expresso e informado;
  4. a informações claras e completas a respeito da coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: (a) justificaram sua coleta; (b) não sejam vedadas pela legislação; (c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações na Internet;
  5. não ter dados pessoais coletados de forma excessiva em relação à finalidade para a qual foram coletados;
  6. a solicitar a exclusão definitiva dos dados pessoais de uma base de dados; e
  7. à clareza dos termos de uso (e políticas de privacidade).

 Como forma de garantir esses direitos, o artigo 12 do MCI instituiu penalidades decorrentes de sua inobservância, as quais incluem a possibilidade de suspensão temporária ou proibição das atividades de coleta e processamento de dados, e/ou a aplicação de multa que pode chegar a 10% (dez porcento) da receita anual do grupo econômico infrator. Efeitos práticos: (i) não há empresa ou profissional de TI que possa se dar ao luxo de não se preparar para cumprir com essas obrigações; (ii) à semelhança do que ocorreu recentemente com a lei anticorrupção, que também previu penalidades associadas ao faturamento do negócio, a tendência é que as áreas de gestão de riscos e/ou de auditoria interna, os CEOs e até mesmo os conselhos de administração se interessem pelo tema.

Como toda lei, o MCI é fonte de obrigações, mas também de oportunidades. A principal delas para o CIO é a chance de mostrar que se antecipa às questões fundamentais, em especial, às estratégicas.  E reforço que se trata de matéria estratégica, não apenas pela magnitude das penas e do risco de dano reputacional importante em caso de descumprimento, mas também, e principalmente, pela perda de oportunidades que a falta de compliance pode provocar.  Por exemplo, o emprego eficiente de cada uma das tecnologias disruptivas que mencionei acima dependerá da observância das regras de privacidade do MCI.  A analogia é simples: se, como defende David Buckingham, “dados são o novo petróleo”, normas de proteção à privacidade de dados pessoais são a nova legislação ambiental.

E como me torno compliant? Sem adentrar nos “porquês”, o que se deve ter em mente é que aos direitos que o MCI conferiu aos internautas, corresponderão, necessariamente, os seguintes controles internos:

  1. Controle interno de correspondência entre as atividades de coleta e tratamento de dados, e suas respectivas finalidades, e os termos de uso e privacidade em vigor. Isto é, será necessária a revisão constante dos consentimentos dados pelo titular dos dados pessoais. Termos de uso e privacidade deverão ser readequados à medida em que as necessidades de negócio e as respectivas finalidades de tratamento da informação forem se modificando;
  2. Revisão de práticas e contratos que envolvam a troca ou fornecimento de dados pessoais a terceiros;
  3. Controles e programas de segurança da informação efetivos. Eventos de quebra de sigilo tendem a provocar as punições mais severas;
  4. Revisão de contratos de prestação de serviço com fornecedores de TI (g. outsourcing, cloud computing), incluindo aqueles prestados a partir do exterior, de modo a avaliar a alocação de riscos e responsabilidades, o que inclui cláusulas atinentes à contratação de seguros;
  5. Mecanismo de deleção definitiva dos dados pessoais das bases de dados em caso de solicitação por seu titular; e
  6. Documentação constante dos controles e respectivos processos implementados, seja em matéria de segurança da informação, seja em matéria de privacidade, uma vez que o regulador terá o poder de solicitar informações a respeito do cumprimento das normas.

Note que o CIO tem participação efetiva em quase todas as providências indicadas acima, não havendo razão para que não tome para si a responsabilidade ou, pelo menos, se apresente como stakeholder chave.

É muito interessante notar que quando apresento o tema em empresas e a área de TI é envolvida, ninguém fica indiferente.  Não há como.  Contudo, e suspeito que será assim até que as multas se multipliquem , as respostas mais frequentes que ouço dos CIOs vão, ou pelo caminho da negação, ou pela via da reserva: “a lei não vai pegar”, “não é bem assim”, “imagina? 10%”.  São nesses momentos que eu me vejo diante do CIO Operacional e o imagino pensando: “esse troço vai me dar mais trabalho”, “já não tenho recursos para o essencial, imagina para isso?”, “deixa a auditoria me pedir primeiro”.

Por outro lado, e cada vez mais, me deparo com os CIOs Estratégicos.  São aqueles que se antecipam e convidam a área de gestão de riscos para a reunião, ou que me perguntam o que devem fazer em matéria de segurança da informação ou, ainda, aqueles que chamam o jurídico para ajudar com os contratos.

A escolha da Lei (qualquer lei) como aliada está intimamente ligada a uma escolha de “I”s pelo C“I”O. Quais “I”s você quer? O da “Invisibilidade”, a que o CIO Operacional se arrisca a ficar associado, ou os da “Inovação”, “Inventividade”, “Inspiração”, “Inteligência” e “Income” (renda), pertencentes ao CIO Estratégico?

Um comentário sobre “Queira o Sr. Perito explicar como utilizar o Marco Civil da Internet de forma estratégica

  1. Estava justamente pesquisando sobre MCI e a responsabilidade da TI nas empresas. Sua abordagem foi fantástica. Depois de ler tudo isso só nos resta agir. Obrigado e parabéns!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s