DECRETO 8.771, DE 11 DE MAIO DE 2016

(D. O. 11-05-2016)

A Presidenta da República, no uso da atribuição que lhe confere o art. 84, caput, inciso IV, da Constituição, e tendo em vista o disposto na Lei 12.965, de 23/04/2014, Decreta:

Capítulo I - DISPOSIçõES GERAIS (Ir para)

- Este Decreto trata das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indica procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela administração pública e estabelece parâmetros para fiscalização e apuração de infrações contidas na Lei 12.965, de 23/04/2014.

- O disposto neste Decreto se destina aos responsáveis pela transmissão, pela comutação ou pelo roteamento e aos provedores de conexão e de aplicações de internet, definida nos termos do inciso I do caput do art. 5º da Lei 12.965/2014.

Parágrafo único - O disposto neste Decreto não se aplica:

I - aos serviços de telecomunicações que não se destinem ao provimento de conexão de internet; e

II - aos serviços especializados, entendidos como serviços otimizados por sua qualidade assegurada de serviço, de velocidade ou de segurança, ainda que utilizem protocolos lógicos TCP/IP ou equivalentes, desde que:

a) não configurem substituto à internet em seu caráter público e irrestrito; e

b) sejam destinados a grupos específicos de usuários com controle estrito de admissão.

Capítulo II - DA NEUTRALIDADE DE REDE (Ir para)

- A exigência de tratamento isonômico de que trata o art. 9º da Lei 12.965/2014, deve garantir a preservação do caráter público e irrestrito do acesso à internet e os fundamentos, princípios e objetivos do uso da internet no País, conforme previsto na Lei 12.965/2014.

- A discriminação ou a degradação de tráfego são medidas excepcionais, na medida em que somente poderão decorrer de requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações ou da priorização de serviços de emergência, sendo necessário o cumprimento de todos os requisitos dispostos no art. 9º, § 2º, da Lei 12.965/2014.

- Os requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações devem ser observados pelo responsável de atividades de transmissão, de comutação ou de roteamento, no âmbito de sua respectiva rede, e têm como objetivo manter sua estabilidade, segurança, integridade e funcionalidade.

§ 1º - Os requisitos técnicos indispensáveis apontados no caput são aqueles decorrentes de:

I - tratamento de questões de segurança de redes, tais como restrição ao envio de mensagens em massa (spam) e controle de ataques de negação de serviço; e

II - tratamento de situações excepcionais de congestionamento de redes, tais como rotas alternativas em casos de interrupções da rota principal e em situações de emergência.

§ 2º - A Agência Nacional de Telecomunicações - Anatel atuará na fiscalização e na apuração de infrações quanto aos requisitos técnicos elencados neste artigo, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet - CGIbr.

- Para a adequada prestação de serviços e aplicações na internet, é permitido o gerenciamento de redes com o objetivo de preservar sua estabilidade, segurança e funcionalidade, utilizando-se apenas de medidas técnicas compatíveis com os padrões internacionais, desenvolvidos para o bom funcionamento da internet, e observados os parâmetros regulatórios expedidos pela Anatel e consideradas as diretrizes estabelecidas pelo CGIbr.

- O responsável pela transmissão, pela comutação ou pelo roteamento deverá adotar medidas de transparência para explicitar ao usuário os motivos do gerenciamento que implique a discriminação ou a degradação de que trata o art. 4º, tais como:

I - a indicação nos contratos de prestação de serviço firmado com usuários finais ou provedores de aplicação; e

II - a divulgação de informações referentes às práticas de gerenciamento adotadas em seus sítios eletrônicos, por meio de linguagem de fácil compreensão.

Parágrafo único - As informações de que trata esse artigo deverão conter, no mínimo:

I - a descrição dessas práticas;

II - os efeitos de sua adoção para a qualidade de experiência dos usuários; e

III - os motivos e a necessidade da adoção dessas práticas.

- A degradação ou a discriminação decorrente da priorização de serviços de emergência somente poderá decorrer de:

I - comunicações destinadas aos prestadores dos serviços de emergência, ou comunicação entre eles, conforme previsto na regulamentação da Agência Nacional de Telecomunicações - Anatel; ou

II - comunicações necessárias para informar a população em situações de risco de desastre, de emergência ou de estado de calamidade pública.

Parágrafo único - A transmissão de dados nos casos elencados neste artigo será gratuita.

- Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, pela comutação ou pelo roteamento e os provedores de aplicação que:

I - comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, os princípios e os objetivos do uso da internet no País;

II - priorizem pacotes de dados em razão de arranjos comerciais; ou

III - privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela comutação ou pelo roteamento ou por empresas integrantes de seu grupo econômico.

- As ofertas comerciais e os modelos de cobrança de acesso à internet devem preservar uma internet única, de natureza aberta, plural e diversa, compreendida como um meio para a promoção do desenvolvimento humano, econômico, social e cultural, contribuindo para a construção de uma sociedade inclusiva e não discriminatória.

Capítulo III - DA PROTEçãO AOS REGISTROS, AOS DADOS PESSOAIS E àS COMUNICAçõES PRIVADAS (Ir para)

Seção I - DA REQUISIçãO DE DADOS CADASTRAIS (Ir para)

- As autoridades administrativas a que se refere o art. 10, § 3º, da Lei 12.965/2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.

§ 1º - O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados.

§ 2º - São considerados dados cadastrais:

I - a filiação;

II - o endereço; e

III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.

§ 3º - Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos.

- A autoridade máxima de cada órgão da administração pública federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo:

I - o número de pedidos realizados;

II - a listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;

III - o número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e

IV - o número de usuários afetados por tais solicitações.

Seção II - PADRõES DE SEGURANçA E SIGILO DOS REGISTROS, DADOS PESSOAIS E COMUNICAçõES PRIVADAS (Ir para)

- Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei 12.965/2014; e

IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

§ 1º - Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação.

§ 2º - Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei 12.965/2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:

I - tão logo atingida a finalidade de seu uso; ou

II - se encerrado o prazo determinado por obrigação legal.

- Para os fins do disposto neste Decreto, considera-se:

I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e

II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

- Os dados de que trata o art. 11 da Lei 12.965/2014, deverão ser mantidos em formato interoperável e estruturado, para facilitar o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 13 deste Decreto.

- As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado o direito de confidencialidade quanto aos segredos empresariais.

Capítulo IV - DA FISCALIZAçãO E DA TRANSPARêNCIA (Ir para)

- A Anatel atuará na regulação, na fiscalização e na apuração de infrações, nos termos da Lei 9.472, de 16/07/1997.

- A Secretaria Nacional do Consumidor atuará na fiscalização e na apuração de infrações, nos termos da Lei 8.078, de 11/09/1990.

- A apuração de infrações à ordem econômica ficará a cargo do Sistema Brasileiro de Defesa da Concorrência, nos termos da Lei 12.529, de 30/11/2011.

- Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei 12.965/2014.

- A apuração de infrações à Lei 12.965/2014, e a este Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado.

- Este Decreto entra em vigor trinta dias após a data de sua publicação.

Vigência em 10/06/2016.

Brasília, 11/05/2016; 195º da Independência e 128º da República. Dilma Rousseff - Eugênio José Guilherme de Aragão - André Peixoto Figueiredo Lima - João Luiz Silva Ferreira - Emília Maria Silva Ribeiro Curi