0
0
Cinco anos se passaram desde que o InternetLab publicou “Quem DefendeSeus Dados? “(“Quem defende seus dados? “), um relatório que responsabiliza os ISPs por suas políticas de privacidade e proteção de dados no Brasil. Desde então, as principais empresas brasileiras de telecomunicações têm proporcionado mais transparência sobre suas políticas de proteção de dados e privacidade, uma mudança alimentada principalmente pela nova lei brasileira de proteção de dados.
O quinto relatório anual do InternetLab é lançado hoje, identificando medidas que as empresas devem tomar para proteger a privacidade e a proteção de dados das telecomunicações no Brasil. Esta edição, com oito provedores de telecomunicações para serviços móveis e de banda larga, mostra a provedora brasileira de telecomunicações TIM liderando o caminho, seguida pela Vivo e Oi logo atrás. A TIM obteve notas altas por defender a privacidade nos debates de políticas públicas e no Judiciário, publicar relatórios de transparência e políticas transparentes de proteção de dados. Em contrapartida, a Nextel marcou o último lugar como em 2019, muito longe do resto de seus concorrentes. A Nextel deu um passo à frente na defesa da privacidade no Judiciário, ao contrário de 2019, quando não recebeu estrelas em nenhuma categoria.
Em contraste com o primeiro relatório do InternetLab em 2016,metade dos provedores cobertos (Claro, NET, TIM e Algar) fizeram progressos significativos na categoria de proteção de dados. Depois de ser mal avaliada em 2019, a Algar obteve uma estrela completa este ano nesta categoria, uma mudança positiva à medida que o Brasil começa a adotar sua nova lei de proteção de dados inspirada no GDPR.
O relatório deste ano também avaliou quais empresas se destacaram em defender publicamente a privacidade contra a pressão governamental sem precedentes para acessar dados de telecomunicações durante a pandemia COVID-19. Para o contexto, o Supremo Tribunal Federal suspendeu a medida provisória 954/2020 do governo que determinava que os provedores de telecomunicações divulgassem os dados de seus clientes junto ao Instituto Brasileiro de Geografia e Estatística (IBGE) durante a situação de emergência em saúde. O tribunal considerou a medida como excessiva e não esclareceu o propósito do pedido. A Oi pediu ao IBGE que assinasse um termo de responsabilidade antes de divulgar os dados.
Infelizmente, os provedores de telecomunicações também assinaram acordos de compartilhamento de dados não transparentes com estados e municípios para ajudar as autoridades públicas a combater a pandemia COVID-19. Aqui, Vivo e Tim se comprometeram publicamente na mídia que apenas dados anônimos e agregados, através de mapas de calor e tabelas pivôs, seriam compartilhados com o governo. Em São Paulo, por exemplo, o acordo permite ao poder público acesso a uma ferramenta de visualização de dados que inclui dados de localização anônimos e agregados para medir a eficácia das ordens de distanciamento social. Após um tribunal de São Paulo decidir que o acordo deveria ser público, muitos provedores de telecomunicações publicaram as políticas relevantes em seus sites, incluindo TIM, Vivo Claro, NET e OI. As políticas das empresas, no entanto, não especificaram as práticas e técnicas de segurança adotadas para garantir o anonimato dos dados compartilhados. No futuro, as empresas devem publicar suas políticas de forma proativa e imediata, e não após a pressão pública.
A maioria dos provedores continua a atrasar seriamente a notificação dos usuários quando o governo solicita seus dados. Como explicamos,nenhuma lei brasileira obriga o Estado ou as empresas a notificar alvos de vigilância. Os juízes podem exigir notificação, e as empresas não são impedidas de notificar os usuários quando o sigilo não é exigido legal ou judicialmente. O aviso prévio do usuário é essencial para restringir solicitações de dados governamentais inadequadas de provedores de serviços. Geralmente é impossível para o usuário saber que o governo exigiu seus dados a menos que leve a acusações criminais. Como resultado, os inocentes são menos propensos a descobrir a violação de seus direitos de privacidade.
O relatório também avalia pela primeira vez se as empresas publicam sua própria Avaliação de Impacto de Proteção de Dados; infelizmente, ninguém fez isso. Diante da controvérsia sobre a interpretação de leis que obrigam as empresas a divulgar dados ao governo, o relatório deste ano, pela primeira vez, analisa a transparência das empresas quanto ao seu entendimento jurídico sobre tais leis.
No geral, o relatório deste ano avalia os provedores em seis critérios: políticas de proteção de dados, diretrizes de aplicação da lei, defesa dos usuários no judiciário, defesa da privacidade em debates de políticas ou mídia, relatórios de transparência e avaliação de impacto de proteção de dados e notificação do usuário. O relatório completo está disponível em português e inglês. Estes são os principais resultados:
Políticas de proteção de dados
Alguns provedores estão agora dizendo aos usuários sobre quais dados eles coletam sobre eles, quanto tempo as informações são mantidas e com quem compartilham (embora frequentemente de forma excessivamente genérica). Em alguns casos, os provedores notificam os usuários sobre mudanças em sua política de privacidade. Nathalie Fragoso, chefe de pesquisa em privacidade e vigilância do InternetLab, disse à EFF.
Ao contrário de 2016, houve um avanço significativo no conteúdo e na forma de políticas de privacidade e proteção de dados. Eles agora estão completos e acessíveis. No entanto, muitas vezes faltam informações sobre a exclusão de dados, e mudanças em suas políticas de privacidade raramente são relatadas proativamente. Enquanto Claro e TIM enviam mensagens aos seus usuários sobre as mudanças na política de privacidade, a Oi apenas informa aos usuários que qualquer alteração estará disponível em seu site. Muito atrás está a Vivo, que se reserva o direito de alterar sua política a qualquer momento e não se compromete a notificar os usuários de tais atualizações.
O relatório também esclarece como os provedores respondem às solicitações dos usuários para acessar seus dados, e avalia a eficácia dessas respostas. Nathalie Fragoso disse à EFF:
Enviamos solicitações de nossos dados pessoais para todos os provedores pesquisados neste relatório, e demos-lhes um mês para responder. Nossas solicitações incluíam qualquer informação relacionada a nós. Todos os provedores, no entanto, cumprem divulgando apenas nossas informações de assinantes, exceto Claro e Oi, que não conseguem fazê-lo. Também soubemos que Algar e Tim tomaram medidas adicionais para certificar a identidade do solicitante antes de divulgar os dados, uma boa prática que merece ser destacada.
Defendendo a privacidade dos usuários nos debates de mídia ou políticas públicas
Este ano, Quem Defende Seus Dados? avalia se osprovedores defenderam a privacidade e a proteção de dados dos usuários em debates de políticas públicas ou na mídia. O primeiro parâmetro avalia as contribuições públicas das empresas para discussões no Congresso e consultas de políticas públicas em torno da proteção de dados.
Embora a Vivo tenha escrito uma submissão pública à consulta “Estratégia Nacional de Inteligência Artificial”, não fez propostas concretas, normativas ou técnicas para proteger seus clientes. Por outro lado, o InternetLab constatou que as declarações políticas da TIM tomaram uma posição clara e robusta pró-privacidade na mesma consulta. A TIM pede transparência e uma explicação sobre os sistemas de IA. Também recomenda fornecer informações suficientes aos afetados por um sistema de IA para entender as razões por trás dos resultados e permitir que os afetados adversamente contestem tais resultados.
Diretrizes de aplicação da lei
A maioria dos provedores está seriamente defasada na publicação de diretrizes detalhadas para as demandas de dados do governo. Vivo Banda Larga e Mobile lideram nessa categoria; No entanto, nenhum obteve uma estrela completa. Esta categoria inclui cinco parâmetros, que você pode ler com mais detalhes no relatório. Abaixo resumimos dois que merecem atenção:
Identificando quais autoridades competentes podem exigir dados de assinantes sem ordem judicial
O Marco Civil do Brasil geralmente exige uma ordem judicial para acessar dados de comunicações, incluindo dados de localização e registros de conexão. Tem uma exceção para quando “autoridades administrativas competentes” exigem dados de assinantes quando autorizados por lei. Há controvérsia sobre quais funcionários do governo são incluídos no termo “autoridades administrativas competentes”. Assim, o relatório foca de perto se cada empresa explica publicamente suas interpretações deste termo legal e, se for o caso, como se trata. O relatório também se concentra em saber se as empresas explicam publicamente quais tipos de dados divulgarão sem um mandado e que só divulgarão com um mandado.
A Vivo Banda Larga e a Mobile estão muito à frente das outras empresas. De acordo com suas políticas, a Vivo divulga dados de assinantes apenas mediante solicitação de representantes do Ministério Público, autoridades policiais (comissários de polícia) e juízes. Suas políticas dizem que disponibiliza registros de conexão e dados de localização apenas por ordem judicial.
Claro e TIM têm resultados mistos. A Claro informa aos usuários que divulga dados de assinantes às autoridades competentes – mas não os identifica. Da mesma forma, a TIM não aponta as autoridades competentes que acredita que podem solicitar dados de assinantes sem ordem judicial. No entanto, a TIM promete cumprir a legislação ao disponibilizar “dados e comunicações” às “autoridades competentes”.
O InternetLab recomenda que a TIM identifique expressamente essas autoridades. A Oi diz aos usuários que compartilha dados com autoridades competentes e os nomeia. No entanto, o relatório mostra que a empresa não esclarece quais das autoridades competentes citadas não exigem uma ordem judicial e que precisam de uma. Algar e Nextel marcaram zero estrelas para suas diretrizes de aplicação da lei. Ainda há muito mais que todas as empresas podem fazer nesta categoria.
Identificar quais crimes justificam a divulgação de dados de assinantes sem um mandado
Como explicamos em nossas faqs legais para o Brasil,autoriza promotores e policiais (geralmente o Chefe da Polícia Civil) a acessar dados de assinantes sem mandado para investigar lavagem de dinheiro e organizações criminosas. O Código de Processo Penal permite o acesso igualitário para crimes de tráfico humano, sequestro, tráfico de órgãos e exploração sexual. Infelizmente, as autoridades policiais reivindicaram o poder de acessar dados de assinantes sem um mandado durante a investigação de outros crimes. Como explicamos,eles afirmam indevidamente uma autorização geral que regula a investigação criminal pelo Chefe da Polícia Civil.
Estamos felizes que o InternetLab desafie a interpretação jurídica errônea em relação ao poder policial, avaliando as respostas das empresas a essas solicitações. Aqui, novamente, diante da controvérsia sobre a interpretação da lei, o InternetLab pede transparência corporativa sobre as interpretações da lei.
Os resultados do InternetLab mostram que a NET, OI Mobile, TIM Broadband, Tim Mobile, Nextel, Algar e Sky não identificaram os crimes pelos quais as autoridades competentes podem obter registros de assinantes sem um mandado.
Conclusão
Diante dos resultados deste ano, o InternetLab incentiva as empresas a melhorar seus canais de solicitações de acesso de dados para facilitar o acesso total aos dados de cada um. Ele recomenda que as empresas adotem práticas proativas de notificação de usuários ao alterar suas políticas de privacidade. Também os encoraja a publicar diretrizes de aplicação da lei divulgando todas as possibilidades ao divulgar dados de assinantes, registros de localização e registros de conexão, e para os quais crimes. As empresas devem garantir transparência quanto à sua interpretação legal das leis que as obrigam a divulgar dados ao governo. As empresas devem ser claras e precisas ao lidar com ordens judiciais versus pedidos administrativos de demanda de dados. Diante de circunstâncias excepcionais, como a pandemia COVID-19, o InternetLab convoca as empresas a adotar uma abordagem de transparência ativa em relação a possíveis acordos de colaboração e compartilhamento de dados com o Estado, e garantir que tal medida excepcional seja realizada no interesse público, limitada em tempo e proporcional.
Finalmente, o InternetLab incentiva as empresas a publicar relatórios abrangentes de transparência e notificar os usuários ao divulgar os dados de seus clientes mediante exigências de aplicação da lei. Através dosrelatórios de Quien Defiende Tus Datos,um projeto coordenado pela EFF, as organizações locais vêm comparando os compromissos das empresas com a transparência e a privacidade dos usuários em diferentes países da América Latina e espanha. O relatório do InternetLab de hoje sobre o Brasil se junta a relatórios semelhantes no início deste ano da= Fundação Karisma na Colômbia, ADC na Argentina, Hiperderecho no Peru, ETICAS na Espanha, IPANDETEC no Panamáe TEDIC no Paraguai. Novas edições na Nicarágua estão a caminho. Todos esses relatórios críticos destacam quais empresas estão com seus usuários e que ficam aquém.
FONTE: EFF