|
LEGISLAÇÃO
DECRETO Nº 8.771, DE
11 DE MAIO DE 2016
Publicado
no DOU de 11/05/2016 (Edição extra)
Regulamenta a Lei nº 12.965,
de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação
de pacotes de dados na internet e de degradação de tráfego,
indicar procedimentos para guarda e proteção de dados por provedores
de conexão e de aplicações, apontar medidas de transparência
na requisição de dados cadastrais pela administração
pública e estabelecer parâmetros para fiscalização
e apuração de infrações.
A PRESIDENTA DA REPÚBLICA, no uso da atribuição
que lhe confere o art.
84, caput, inciso IV, da Constituição, e tendo
em vista o disposto na Lei
nº 12.965 de 23 de abril de 2014,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES
GERAIS
Art.
1º Este Decreto trata das hipóteses admitidas de discriminação
de pacotes de dados na internet e de degradação de tráfego,
indica procedimentos para guarda e proteção de dados por
provedores de conexão e de aplicações, aponta medidas
de transparência na requisição de dados cadastrais
pela administração pública e estabelece parâmetros
para fiscalização e apuração de infrações
contidas na Lei nº 12.965,
de 23 de abril de 2014.
Art. 2º O disposto neste Decreto se destina aos responsáveis
pela transmissão, pela comutação ou pelo roteamento
e aos provedores de conexão e de aplicações de internet,
definida nos termos do inciso
I do caput do art. 5º da Lei nº 12.965, de 2014.
Parágrafo único. O disposto neste Decreto não se
aplica:
I - aos serviços de telecomunicações que não
se destinem ao provimento de conexão de internet; e
II - aos serviços especializados, entendidos como serviços
otimizados por sua qualidade assegurada de serviço, de velocidade
ou de segurança, ainda que utilizem protocolos lógicos TCP/IP
ou equivalentes, desde que:
a) não configurem substituto à internet em seu caráter
público e irrestrito; e
b) sejam destinados a grupos específicos de usuários com
controle estrito de admissão.
CAPÍTULO II
DA NEUTRALIDADE
DE REDE
Art. 3º A exigência de tratamento isonômico de que trata
o art.
9º da Lei nº 12.965, de 2014, deve garantir a preservação
do caráter público e irrestrito do acesso à internet
e os fundamentos, princípios e objetivos do uso da internet no País,
conforme previsto na Lei
nº 12.965, de 2014.
Art. 4º A discriminação
ou a degradação de tráfego são medidas excepcionais,
na medida em que somente poderão decorrer de requisitos técnicos
indispensáveis à prestação adequada de serviços
e aplicações ou da priorização de serviços
de emergência, sendo necessário o cumprimento de todos os requisitos
dispostos no art. 9º, §
2º, da Lei nº 12.965, de 2014.
Art. 5º Os requisitos técnicos
indispensáveis à prestação adequada de serviços
e aplicações devem ser observados pelo responsável
de atividades de transmissão, de comutação ou de roteamento,
no âmbito de sua respectiva rede, e têm como objetivo manter
sua estabilidade, segurança, integridade e funcionalidade.
§ 1º Os requisitos técnicos indispensáveis apontados
no caput são aqueles decorrentes de:
I - tratamento de questões de segurança de redes, tais
como restrição ao
envio de mensagens em massa (spam) e controle de ataques de negação
de serviço; e
II - tratamento de situações excepcionais de congestionamento
de redes, tais como rotas alternativas em casos de interrupções
da rota principal e em situações de emergência.
§ 2º A Agência Nacional de Telecomunicações
- Anatel atuará na fiscalização e na apuração
de infrações quanto aos requisitos técnicos elencados
neste artigo, consideradas as diretrizes estabelecidas pelo Comitê
Gestor da Internet - CGIbr.
Art. 6º Para a adequada prestação de serviços
e aplicações na internet, é permitido o gerenciamento
de redes com o objetivo de preservar sua estabilidade, segurança
e funcionalidade, utilizando-se apenas de medidas técnicas compatíveis
com os padrões internacionais, desenvolvidos para o bom funcionamento
da internet, e observados os parâmetros regulatórios expedidos
pela Anatel e consideradas as diretrizes estabelecidas pelo CGIbr.
Art. 7º O responsável pela transmissão, pela comutação
ou pelo roteamento deverá adotar medidas de transparência
para explicitar ao usuário os motivos do gerenciamento que implique
a discriminação ou a degradação de que trata
o art. 4º, tais como:
I - a indicação nos contratos de prestação
de serviço firmado com usuários finais ou provedores de aplicação;
e
II - a divulgação de informações referentes
às práticas de gerenciamento adotadas em seus sítios
eletrônicos, por meio de linguagem de fácil compreensão.
Parágrafo único. As informações de que trata
esse artigo deverão conter, no mínimo:
I - a descrição dessas práticas;
II - os efeitos de sua adoção para a qualidade de experiência
dos usuários; e
III - os motivos e a necessidade da adoção dessas práticas.
Art. 8º A degradação ou a discriminação
decorrente da priorização de serviços de emergência
somente poderá decorrer de:
I - comunicações destinadas aos prestadores dos serviços
de emergência, ou comunicação entre eles, conforme
previsto na regulamentação da Agência Nacional de Telecomunicações
- Anatel; ou
II - comunicações necessárias para informar a população
em situações de risco de desastre, de emergência ou
de estado de calamidade pública.
Parágrafo único. A transmissão de dados nos casos
elencados neste artigo será gratuita.
Art. 9º Ficam vedadas condutas unilaterais ou acordos entre o responsável
pela transmissão, pela comutação ou pelo roteamento
e os provedores de aplicação que:
I - comprometam o caráter público e irrestrito do acesso
à internet e os fundamentos, os princípios e os objetivos
do uso da internet no País;
II - priorizem pacotes de dados em razão de arranjos comerciais;
ou
III - privilegiem aplicações ofertadas pelo próprio
responsável pela transmissão, pela comutação
ou pelo roteamento ou por empresas integrantes de seu grupo econômico.
Art. 10. As ofertas comerciais e os modelos de cobrança de acesso
à internet devem preservar uma internet única, de natureza
aberta, plural e diversa, compreendida como um meio para a promoção
do desenvolvimento humano, econômico, social e cultural, contribuindo
para a construção de uma sociedade inclusiva e não
discriminatória.
CAPÍTULO III
DA PROTEÇÃO
AOS REGISTROS, AOS DADOS PESSOAIS
E ÀS
COMUNICAÇÕES PRIVADAS
Seção
I
Da requisição
de dados cadastrais
Art. 11. As autoridades administrativas a que se refere o art.10, §
3º, da Lei nº 12.965, de 2014, indicarão o fundamento
legal de competência expressa para o acesso e a motivação
para o pedido de acesso aos dados cadastrais.
§ 1º O provedor que não coletar dados cadastrais deverá
informar tal fato à autoridade solicitante, ficando desobrigado
de fornecer tais dados.
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome,
estado civil e profissão do usuário.
§ 3º Os pedidos de que trata o caput devem especificar os indivíduos
cujos dados estão sendo requeridos e as informações
desejadas, sendo vedados pedidos coletivos que sejam genéricos ou
inespecíficos.
Art. 12. A autoridade máxima de cada órgão da administração
pública federal publicará anualmente em seu sítio
na internet relatórios estatísticos de requisição
de dados cadastrais, contendo:
I - o número de pedidos realizados;
II - a listagem dos provedores de conexão ou de acesso a aplicações
aos quais os dados foram requeridos;
III - o número de pedidos deferidos e indeferidos pelos provedores
de conexão e de acesso a aplicações; e
IV - o número de usuários afetados por tais solicitações.
Seção II
Padrões
de segurança e sigilo dos registros, dados pessoais e
comunicações
privadas
Art. 13. Os provedores de conexão
e de aplicações devem, na guarda, armazenamento e tratamento
de dados pessoais e comunicações privadas, observar as seguintes
diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante
a definição de responsabilidades das pessoas que terão
possibilidade de acesso e de privilégios de acesso exclusivo para
determinados usuários;
II - a previsão de mecanismos de autenticação de
acesso aos registros, usando, por exemplo, sistemas de autenticação
dupla para assegurar a individualização do responsável
pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos
aos registros de conexão e de acesso a aplicações,
contendo o momento, a duração, a identidade do funcionário
ou do responsável pelo acesso designado pela empresa e o arquivo
acessado, inclusive para cumprimento do disposto no art. 11, §
3º, da Lei nº 12.965, de 2014; e
IV - o uso de soluções de gestão dos registros por
meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção
equivalentes.
§ 1º Cabe ao CGIbr promover estudos e recomendar procedimentos,
normas e padrões técnicos e operacionais para o disposto nesse
artigo, de acordo com as especificidades e o porte dos provedores de conexão
e de aplicação.
§ 2º Tendo em vista o disposto nos incisos
VII a X do caput do art. 7º da Lei nº 12.965, de 2014,
os provedores de conexão e aplicações devem reter a
menor quantidade possível de dados pessoais, comunicações
privadas e registros de conexão e acesso a aplicações,
os quais deverão ser excluídos:
I - tão logo atingida a finalidade de seu uso; ou
II - se encerrado o prazo determinado por obrigação legal.
Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada
ou identificável, inclusive números identificativos, dados
locacionais ou identificadores eletrônicos, quando estes estiverem
relacionados a uma pessoa; e
II - tratamento de dados pessoais - toda operação realizada
com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
Art. 15. Os dados de que trata o art.
11 da Lei nº 12.965, de 2014, deverão ser mantidos em formato
interoperável e estruturado, para facilitar o acesso decorrente de
decisão judicial ou determinação legal, respeitadas
as diretrizes elencadas no art. 13 deste Decreto.
Art. 16. As informações sobre os padrões de segurança
adotados pelos provedores de aplicação e provedores de conexão
devem ser divulgadas de forma clara e acessível a qualquer interessado,
preferencialmente por meio de seus sítios na internet, respeitado
o direito de confidencialidade quanto aos segredos empresariais.
CAPÍTULO IV
DA FISCALIZAÇÃO
E DA TRANSPARÊNCIA
Art. 17. A Anatel atuará na regulação, na fiscalização
e na apuração de infrações, nos termos da Lei nº 9.472,
de 16 de julho de 1997.
Art. 18. A Secretaria Nacional do Consumidor atuará na fiscalização
e na apuração de infrações, nos termos da Lei nº 8.078,
de 11 de setembro de 1990.
Art. 19. A apuração de infrações à
ordem econômica ficará a cargo do Sistema Brasileiro de Defesa
da Concorrência, nos termos da Lei
nº 12.529, de 30 de novembro de 2011.
Art. 20. Os órgãos e as entidades da administração
pública federal com competências específicas quanto
aos assuntos relacionados a este Decreto atuarão de forma colaborativa,
consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento
da legislação brasileira, inclusive quanto à aplicação
das sanções cabíveis, mesmo que as atividades sejam
realizadas por pessoa jurídica sediada no exterior, nos termos do
art.
11 da Lei nº 12.965, de 2014.
Art. 21. A apuração de infrações à
Lei
nº 12.965, de 2014, e a este Decreto atenderá aos procedimentos
internos de cada um dos órgãos fiscalizatórios e poderá
ser iniciada de ofício ou mediante requerimento de qualquer interessado.
Art. 22. Este Decreto entra em vigor trinta dias após a data de
sua publicação.
Brasília, 11 de maio de 2016; 195º da Independência
e 128º da República.
DILMA ROUSSEFF
Eugênio José Guilherme de Aragão
André Peixoto Figueiredo Lima
João Luiz Silva Ferreira
Emília Maria Silva Ribeiro Curi
|
Coordenadoria de Gestão Normativa
e Jurisprudencial
Última atualização
em 13/05/2016
|