Cinco anos se passaram desde que o InternetLab publicou “Quem Defende Seus Dados?" (“Who defends your data?"), relatório que responsabiliza os provedores de acesso à internet por suas políticas de privacidade e proteção de dados no Brasil. Desde então, as principais empresas de telecomunicação brasileiras tem proporcionado maior transparência sobre suas políticas de proteção de dados e privacidade, uma mudança impulsionada principalmente pela nova lei de proteção de dados do Brasil.    

O quinto relatório anual do InternetLab, apresentado hoje, identifica as medidas que as empresas devem tomar para proteger a privacidade nas telecomunicações e a proteção de dados no Brasil. Esta edição, que apresenta oito provedores de telecomunicações para serviços móveis e de banda larga, mostra a empresa TIM na liderança, seguida logo atrás pela Vivo e pela Oi. A TIM obteve notas altas por defender a privacidade nos debates de políticas públicas e no judiciário, por publicar relatórios de transparência e pelas políticas transparentes de proteção de dados. Em contraste, a Nextel ficou em último lugar, muito distante das demais competidoras e na mesma posição em que havia ficado em 2019. Mas a Nextel deu sim um passo a frente na defesa da privacidade no judiciário, diferente de 2019, quando não recebeu estrelas em nenhuma categoria.

Em forte contraste com o primeiro relatório do InternetLab em 2016, metade dos provedores (Claro, NET, TIM e Algar) fizeram avanços significativos na categoria de proteção de dados. Depois de ter sido mal avaliada em 2019, a Algar obteve uma estrela completa este ano nesta categoria, uma mudança positiva à medida que o Brasil começa a adotar sua nova lei de proteção de dados inspirada no GDPR (“General Data Protection Regulation”, o regulamento geral sobre proteção de dados da União Europeia).

O relatório deste ano também avaliou quais empresas se destacaram na defesa pública da privacidade contra a pressão governamental sem precedentes para acessar os dados de telecomunicações durante a pandemia de COVID-19. Como exemplo, o Supremo Tribunal Federal (STF) do Brasil suspendeu a Medida Provisória 954/2020, que ordenava que os provedores de telecomunicações divulgassem os dados de seus clientes para o Instituto Brasileiro de Geografia e Estatística (IBGE) durante a situação de emergência sanitária. A corte determinou que a medida era excessivamente ampla e não esclarecia o objetivo do pedido. A Oi solicitou ao IBGE que assinasse um termo de responsabilidade antes de divulgar os dados.

Infelizmente, os provedores de telecomunicações também assinaram acordos não transparentes de compartilhamento de dados com estados e municípios para ajudar as autoridades públicas a combater a pandemia da COVID-19. A Vivo e a TIM se comprometeram publicamente nos meios de comunicação que somente dados anônimos e agregados, como mapas de calor e tabelas dinâmicas, seriam compartilhados com o governo. Em São Paulo, por exemplo, o acordo permite às autoridades públicas o acesso a uma ferramenta de visualização de dados que inclui dados de localização anônimos e agregados para medir a eficácia das determinações de distanciamento social. Depois que um tribunal de São Paulo decidiu que o acordo deveria ser público, muitos provedores de telecomunicações publicaram as políticas relevantes em seus sites, incluindo TIM, Vivo, Claro, NET e Oi. As políticas das empresas, no entanto, não especificavam as práticas e técnicas de segurança adotadas para garantir o anonimato dos dados compartilhados. No futuro, as empresas deverão publicar suas políticas de forma proativa e imediata, e não em decorrência da pressão pública.

A maioria dos provedores continua a demorar demais para notificar os usuários quando o governo solicita seus dados. Como já explicamos, nenhuma lei brasileira obriga o Estado ou as empresas a notificar os alvos de vigilância. Juízes podem exigir notificação e as empresas não são impedidas de notificar os usuários quando o sigilo não é exigido legalmente ou judicialmente. A notificação prévia do usuário é essencial para restringir solicitações governamentais indevidas de dados aos provedores de serviços. É, em geral, impossível para o usuário saber que o governo exigiu seus dados, a menos que isso leve a acusações criminais. Como resultado, os inocentes são menos propensos a descobrir a violação de seus direitos de privacidade.

O relatório também avalia pela primeira vez se as empresas publicam sua própria avaliação do impacto da proteção de dados; infelizmente, nenhuma o fez. Diante da controvérsia sobre a interpretação das leis que obrigam as empresas a divulgar dados ao governo, o relatório deste ano analisa, pela primeira vez, a transparência das empresas quanto ao seu entendimento jurídico de tais leis.

De modo geral, o relatório deste ano avalia os provedores em seis critérios: políticas de proteção de dados, protocolos de entrega de dados para investigações, defesa dos usuários no judiciário, defesa pública da privacidade nos debates sobre políticas ou na mídia, relatórios de transparência e avaliação do impacto da proteção de dados, e notificação dos usuários. O relatório completo está disponível em português e inglês. Estes são os principais resultados:

Políticas de proteção de dados

Alguns provedores agora informam aos usuários quais dos seus dados coletam, por quanto tempo as informações são guardadas e com quem são compartilhadas (embora muitas vezes de uma maneira genérica demais). Em alguns casos, os provedores notificam os usuários sobre as mudanças em sua política de privacidade. Nathalie Fragoso, chefe da Pesquisa sobre Privacidade e Vigilância do InternetLab, disse à EFF.

Diferentemente de 2016, houve um avanço significativo no conteúdo e na forma das políticas de privacidade e proteção de dados. Elas agora estão completas e acessíveis. No entanto, muitas vezes faltam informações sobre eliminação de dados e raramente são relatadas de forma proativa as mudanças nas políticas de privacidade. Enquanto a Claro e a TIM enviam mensagens aos seus usuários sobre mudanças em suas políticas de privacidade, a Oi apenas informa aos usuários que qualquer mudança estará disponível em seu website. Muito atrás está a Vivo, que se reserva o direito de alterar sua política a qualquer momento e não se compromete a notificar os usuários sobre tais atualizações.

O relatório também lança luz sobre como os provedores respondem às solicitações dos usuários para acessar seus dados, e avalia a eficácia de tais respostas. Nathalie Fragoso disse à EFF:

Enviamos solicitações dos nossos dados pessoais a todos os provedores avaliados neste relatório, e lhes demos um mês para responderem. Nossas solicitações incluíam quaisquer informações relativas a nós. Todos os provedores, no entanto, atenderam à solicitação divulgando apenas nossas informações de assinantes, exceto a Claro e a Oi, que não o fizeram. Soubemos também que a Algar e a TIM tomaram medidas adicionais para certificarem a identidade do solicitante antes de divulgar os dados, uma boa prática que merece ser destacada.

Defesa da privacidade na mídia e nos debates sobre políticas públicas

Este ano, Quem Defende Seus Dados? avalia se os provedores defenderam a privacidade e a proteção de dados dos usuários em debates sobre políticas públicas e nos meios de comunicação. O primeiro parâmetro avalia as contribuições públicas das empresas para as discussões no Congresso e as consultas de políticas públicas sobre proteção de dados.

Embora a Vivo tenha escrito uma nota pública para a consulta "Estratégia Nacional de Inteligência Artificial", a empresa não fez propostas concretas, normativas ou técnicas para proteger seus clientes. Por outro lado, o InternetLab descobriu que as declarações políticas da TIM tomaram uma posição clara e robusta a favor da privacidade nessa mesma consulta. A TIM exige transparência e uma explicação sobre os sistemas de inteligência artificial (IA). Ela também recomenda que sejam fornecidas informações suficientes àqueles afetados por um sistema de IA, para que possam compreender as razões por trás dos resultados e para permitir sua contestação por aqueles que forem afetados adversamente.

Protocolos para entrega de dados para investigações

A maioria dos provedores está seriamente atrasada na publicação de protocolos detalhados para as demandas governamentais por dados. A Vivo Banda Larga e Celular lideram nesta categoria; entretanto, nenhum provedor obteve uma estrela completa. Esta categoria inclui cinco parâmetros, que podem ser lidos com mais detalhes no relatório. A seguir resumimos dois que merecem atenção:

Identificação de quais autoridades competentes podem exigir dados dos assinantes sem uma ordem judicial

O Marco Civil da Internet geralmente exige uma ordem judicial para acessar os dados de comunicações, incluindo dados de localização e registros de conexão. Existe uma exceção se "autoridades administrativas competentes" exigem dados de assinantes quando autorizado por lei. Há controvérsia sobre quais funcionários governamentais estão incluídos dentro do termo "autoridades administrativas competentes". Assim, o relatório examina de perto se cada empresa explica publicamente suas interpretações deste termo legal e, em caso afirmativo, como o faz. O relatório também foca em saber se as empresas explicam publicamente que tipos de dados elas poderão revelar sem um mandado e quais dados somente serão divulgados com um mandado.

A Vivo Banda Larga e Móvel está muito à frente das outras empresas. De acordo com suas políticas, a Vivo somente divulga dados dos assinantes mediante solicitação dos representantes do Ministério Público, autoridades policiais (comissários de polícia) e juízes. Suas políticas afirmam que a Vivo apenas torna os registros de conexão e os dados de localização disponíveis por ordem judicial.

A Claro e a TIM têm resultados mistos. A Claro informa aos usuários que divulga os dados dos assinantes às autoridades competentes, mas não as identifica. Da mesma forma, a TIM não identifica as autoridades competentes que podem solicitar os dados dos assinantes sem uma ordem judicial. Entretanto, a TIM promete cumprir a legislação ao disponibilizar "dados e comunicações" para as "autoridades competentes".

O InternetLab recomenda que a TIM identifique expressamente essas autoridades. A Oi informa aos usuários que compartilha dados com as autoridades competentes e as nomeia. Entretanto, o relatório mostra que a empresa não esclarece quais das autoridades competentes citadas não exigem uma ordem judicial e quais precisam de uma. A Algar e a Nextel obtiveram zero estrelas para seus protocolos de aplicação da lei. Ainda há muito mais que todas as empresas podem fazer nesta categoria.

Identificação de quais crimes justificam a divulgação de dados do assinante sem um mandado

Como explicamos em nossas FAQs sobre questões jurídicas no Brasil, o país autoriza promotores e policiais (geralmente o Chefe da Polícia Civil) a acessar dados de assinantes sem um mandado para investigar lavagem de dinheiro e organizações criminosas. O Código de Processo Penal permite o mesmo acesso para crimes de tráfico de pessoas, sequestro, tráfico de órgãos e exploração sexual. Infelizmente, as autoridades policiais tem reivindicado o poder de acessar os dados dos assinantes sem um mandado na investigação de outros crimes. Como já explicamos, eles reivindicam indevidamente uma autorização geral que regularia a investigação criminal pelo Chefe da Polícia Civil.

Estamos contentes que o InternetLab conteste uma interpretação jurídica equivocada a respeito do poder policial, avaliando as respostas das empresas a tais solicitações. Também neste caso, diante da controvérsia sobre a interpretação da lei, o InternetLab apela para a transparência corporativa sobre estas interpretações.

Os resultados do InternetLab mostram que NET, Oi, Mobile, TIM Banda Larga, Tim Móvel, Nextel, Algar e Sky não conseguiram identificar os crimes para os quais as autoridades competentes poderiam obter registros de assinantes sem um mandado.

Conclusão

Dados os resultados deste ano, o InternetLab incentiva as empresas a melhorarem seus canais de atendimento para a solicitação de acesso aos dados de modo a facilitar o pleno acesso. Recomenda ainda que as empresas adotem práticas proativas de notificação dos usuários ao alterarem suas políticas de privacidade. Também as incentiva a publicar os protocolos de entrega de dados para investigações, expondo todas as possibilidades na hora de revelar dados de assinantes, registros de localização e registros de conexão, e para quais crimes. As empresas devem assegurar a transparência quanto à interpretação jurídica das leis que as obrigam a revelar dados ao governo. As empresas devem ser claras e precisas ao lidar com ordens judiciais frente a solicitações administrativas de exigências de dados. Em face de circunstâncias excepcionais, tais como a pandemia COVID-19, o InternetLab apela para que as empresas adotem uma abordagem de transparência ativa em relação a possíveis acordos de colaboração e compartilhamento de dados com o Estado, e assegurem que tal medida excepcional seja executada dentro do interesse público, limitada no tempo e proporcional.

Finalmente, o InternetLab incentiva as empresas a publicarem relatórios de transparência abrangentes e a notificarem os usuários quando divulgarem dados de seus clientes por exigência da lei. Através dos relatório ¿Quien Defiende Tus Datos?, um projeto coordenado pela EFF, as organizações locais têm comparado os compromissos das empresas com a transparência e a privacidade dos usuários em diferentes países da América Latina e da Espanha. O relatório de hoje do InternetLab sobre o Brasil se une a relatórios semelhantes do início deste ano da Fundación Karisma na Colombia, ADC na Argentina, Hiperderecho no Peru, ETICAS na Espanha, IPANDETEC no Panama, e TEDIC no Paraguay. Novas edições na Nicarágua estão a caminho. Todos estes relatórios críticos identificam quais empresas estão do lado de seus usuários e quais ficam aquém do esperado.