O Brasil tem sido alvo de ataques cada vez mais frequentes à segurança digital. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo braço executivo do Núcleo de Informação e Coordenação (NIC.br) uma entidade privada, recebeu mais de 875 000 notificações de incidentes em 2019, 78% dos quais vinham do Brasil (Figuras 4.1 e 4.2). O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR) também relatou um número crescente de incidentes (Figura 4.3). Uma breve análise de dados de outras fontes confirma esse quadro. Em 2018, a EUROPOL constatou que o Brasil é tanto um dos alvos preferidos quanto a origem de ataques na América Latina, e observou ainda que 54% dos ataques à segurança digital no Brasil se originaram no próprio país (EUROPOL, 2018). Segundo a LexisNexis Threatmetrix (2019), o Brasil ocupa o sexto lugar em origem dos ataques no mundo inteiro (em volume).
A Caminho da Era Digital no Brasil
Capítulo 4. Aumentando a confiança na economia digital
Política de segurança digital no Brasil
A pesquisa de 2018 da Norton Survey mostrou que 89 milhões de brasileiros foram vítimas de crimes cibernéticos, 70.4 milhões só no último ano (Norton, 2018). Uma pesquisa do Ponemon Institute realizada em 2017 com 36 empresas brasileiras em 12 setores, mostrou que elas tiveram, em média, um prejuízo de 1.1 milhão de dólares em cada ataque digital (Ponemon, 2017). A pesquisa Marsh JLT13 Cyber Review 2019, conduzida com 200 médias e grandes empresas brasileiras, constatou que 55% dessas empresas eram totalmente dependentes da tecnologia em suas atividades, e que 35% delas podem sofrer paralisações severas se enfrentarem problemas relacionados à tecnologia (Insurancecorp, 2019).
No entanto, 44% das empresas pesquisadas não tinham planos de contingência ou dinheiro reservado para combater incidentes e não previam, em seus orçamentos, respostas a uma possível crise. Oitenta por cento dos pesquisados estimavam que um incidente de segurança digital, teria impacto operacional significativo na empresa inteira (Insurancecorp, 2019). De acordo com uma pesquisa do Cetic.br (2018) sobre práticas TIC no setor da saúde, em 2018, somente 23% dos estabelecimentos públicos e privados tinham documentos que definiam alguma política de segurança da informação.
Com a finalidade de enfrentar essa questão, o Brasil está desenvolvendo um amplo marco de segurança digital, começando com a adoção de sua primeira Estratégia Nacional de Segurança Cibernética.
Esta seção fornece uma descrição abrangente das políticas de segurança digital no Brasil e discute seus pontos fortes e limitações a partir da perspectiva do documento denominado Recomendaçãodo Conselho sobre Gestão de Riscos de Segurança Digital para Prosperidade Econômica e Social (doravante “Recomendação sobre Riscos de Segurança”) (OCDE, 2015) e do documento denominado Recomendação do Conselho sobre Segurança Digital de Atividades Críticas (OCDE, 2019b). Salvo se especificado de outra maneira, “segurança digital” se refere à gestão de riscos econômicos e sociais resultantes de violações em relação a disponibilidade, integridade e confidencialidade de hardware, software, redes e dados. Este capítulo não cobre políticas relacionadas de maneira direta à aplicação da lei criminal (isto é, crime cibernético), defesa nacional ou segurança nacional.
O surgimento de uma política de segurança digital no Brasil
A Segurança digital não configura uma área de novas políticas no Brasil. Desde 2000, as políticas de segurança digital evoluíram em três fases principais.
2000-12: Os primeiros passos da política de segurança digital no Brasil
Esse período se caracterizou pelo estabelecimento dos fundamentos, tendo como foco a segurança digital na administração pública (Quadro 4.1) Em 2000, o governo estabeleceu uma política de segurança da informação para os órgãos de administração pública federal e criou um Comitê Gestor da Segurança da Informação (CGSI), encarrregado de assessorar a Secretaria Executiva do Conselho de Defesa Nacional em sua implementação.1 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), foi criada em 2001. O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CITR Gov) foi estabelecido em 2004. A partir de 2006, o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) foi designado como órgão principal para questões de segurança e, com os anos, adotou três instruções gerais e 22 padrões complementares (a partir de 2019). O Tribunal de Contas da União (TCU) monitorou a sua implementação pela administração pública federal por meio de pesquisas seguidas de recomendações. O Livro Verde sobre Segurança Cibernética no Brasil de 2010 (GSI/PR, 2010), que inclui recomendações quanto à determinação de uma política nacional de segurança cibernética, pode ser visto como a primeira tentativa de conduzir a política de segurança digital a partir de uma perspectiva holística e estratégica.
Quadro 4.1. Os primeiros passos da política de segurança digital no Brasil
2000: Determinação de uma política de segurança da informação para os órgãos da administração pública e a criação do Comitê Gestor da Segurança da Informação (CGSI), coordenado pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR).
2001: Criação do ICP-Brasil.1
2003: Criação do Comitê Gestor da Internet no Brasil (CGI.br).
2004: Criação do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov).
2005: I Conferência de Segurança para o Governo (SECGOV-2005).
2006: Criação do Departamento de Segurança da Informação e Comunicações (DSIC) no âmbito do GSI/PR; criação de uma parceria liderada pelo GSI/PR para facilitar a coordenação de diversos organismos do setor público, incluindo empresas públicas (p.ex. Petrobras, Banco do Brasil etc.) e adoção de um orçamento para facilitar o treinamento de segurança na administração pública.
2008: Primeira pesquisa de segurança digital na administração pública e recomendações do Tribunal de Contas da União (TCU). Adoção da Estratégia de Defesa Nacional, que estabelece o “setor cibernético” como um dos três setores estratégicos considerados essenciais para a defesa nacional.
2008-18: Publicação pelo GSI de 3 instruções gerais e 22 padrões complementares para a segurança digital na administração pública, abrangendo vários temas como metodologia de gerenciamento de riscos, gestão da continuidade das operações, uso de criptografia, biometria, tecnologias de computação em nuvem e compra de software seguro.
2009: Estabelecimento de um “Grupo Técnico de Segurança Cibernética” para propor diretrizes e estratégicas de segurança cibernética.
2010: Segunda pesquisa do TCU. Publicação do Livro Verde sobre Segurança Cibernética no Brasil pelo GSI/PR.
2011: Lei de Acesso à Informação, que estabelece um princípio de transparência em relação às informações na administração pública (entrou em vigor em 2012).
2012: TCU publica recomendações.
Fonte: GSI (2015), Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018, http://dsic.planalto.gov.br/legislacao/4_Estrategia_de_SIC.pdf/view.
2012-17: Maior atenção a, e foco em aspectos de segurança nacional
A partir de 2012, eventos importantes criaram as condições necessárias para aumentar a capacidade de segurança digital operacional do país, ao mesmo tempo que enfatizaram a dimensão da segurança digital sobre a segurança nacional e aumentaram a conscientização sobre a privacidade e as liberdades civis em relação à Internet.
Entre 2012 e 2016, o governo ampliou de maneira significativa sua capacidade de segurança digital operacional, a fim de proteger diversos megaeventos realizados no Brasil, como a Conferência das Nações Unidas sobre Desenvolvimento Sustentável (Rio+20 em 2012), Jornada Mundial da Juventude (2013), Copa das Confederações (2013), Copa do Mundo (2014), e as Olimpíadas e Paralimpíadas (2016). O Ministério da Defesa exerceu papel operacional importante, inclusive por estabelecer um Centro de Monitoramento Cibernético (Demetrio, 2012) e cooperar com diversos órgãos, além de equipes públicas e privadas de resposta a emergências, administrando a situação com êxito (Hurel e Cruz Lobato, 2018).
Em 2013, a revelação de atividades estrangeiras de espionagem no Brasil levou à criação de uma Comissão Parlamentar de Inquérito (CPI) da Espionagem, o que destacou a fragilidade da segurança cibernética do país a partir da perspectiva da segurança nacional. O relatório final da CPI recomendava a definição de uma Estratégia Nacional de Segurança Cibernética, a adoção de medidas para coordenar ações públicas e privadas nessa área, e a criação de uma agência de segurança cibernética dentro da administração pública federal, para tratar da questão de um modo abrangente e mais efetivo.
Durante o mesmo período, considerável atenção pública foi dada à privacidade e às liberdades civis em relação à Internet, em especial por meio de consultas públicas em torno da adoção do Marco Civil da Internet, estabelecendo princípios, garantias, direitos e obrigações em relação ao uso da Internet no Brasil (abril de 2014).2
Em 2014, no entanto, os resultados de uma auditoria realizada pelo TCU enfatizaram um nível relativamente baixo de implementação dos requisitos de segurança digital existentes por parte da administração pública federal. Segundo o TCU, a maior parte dos órgãos de administração pública federal não estava ciente de sua exposição a riscos de TI, da probabilidade da ocorrência de incidentes e/ou possíveis impactos na realização de seus objetivos. Além do mais, muitas empresas públicas, apesar de conhecerem os riscos de TI, não os mantinham em níveis aceitáveis ou não lhes davam o devido valor. O TCU enfatizou o baixo nível de maturidade no que diz respeito ao processo de gestão de riscos na administração pública. O TCU destacou ainda que essa situação aumentava a probabilidade de o TI não apresentar os resultados às empresas no prazo, com o custo e nível de qualidade combinados e, em consequência, afetar a realização dos objetivos comerciais das entidades. Por exemplo, só 25% das empresas auditadas haviam estabelecido diretrizes para a gestão de riscos de TI, e só 8% delas estavam plenamente alinhadas com os requisitos existentes. Somente 13 de 355 empresas auditadas haviam definido formalmente seus níveis aceitáveis de riscos de segurança de TI (isto é, apetite por riscos).3
Nesse contexto, o GSI/PR desenvolveu a Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal, 2015-2018. Após descrever o panorama e o contexto, o documento estabeleceu a missão e visão estratégica, definiu 7 valores estratégicos, 11 princípios e 10 objetivos estratégicos com metas a serem atingidas até 2018.
2018 até o presente: Segurança digital no contexto da transformação digital no Brasil
Iniciou-se uma nova fase em março de 2018, com a publicação da Estratégia Brasileira para a Transformação Digital (veja o Capítulo 1), que inclui um eixo temático focado em “fortalecer a confiança no ambiente digital”, que tem por objetivo “transformar a Internet em um ambiente seguro e propício a serviços e operações comerciais, pautado pelo respeito ao direito dos cidadãos”. Esse eixo temático aborda a “defesa e segurança no ambiente digital” e a “proteção dos direitos e privacidade”.
Segundo a Estratégia para a Transformação Digital, importantes progressos na área da “defesa cibernética” foram feitos ao longo dos anos, mas o Brasil ainda precisa melhorar seu marco regulatório e institucional a fim de superar os desafios da digitalização da sociedade e da economia. A estratégia alega que a segurança digital deve ser vista como prioridade nacional e que deveria ser desenvolvida uma “estratégia de defesa e segurança cibernética”. A Estratégia para a Transformação Digital destaca que a cooperação entre os setores público e privado, é um fator essencial para a eficácia das ações conjecturadas em futuros planos e estratégias. A referida estratégia identifica ações, incluindo a necessidade de intensificar o nível de segurança digital na administração pública; proteger a infraestrutura nacional crítica; aumentar a conscientização da população; aperfeiçoar as competências de segurança digital nos setores público e privado; investir em pesquisa e desenvolvimento; desenvolver métricas e modelos de compartilhamento de informações; além de aumentar a cooperação internacional.
Em dezembro de 2018, o governo publicou um decreto estabelecendo a Política Nacional de Segurança da Informação (PNSI).4 Desenvolvido pelo GSI/PR, esse decreto estabelece 16 princípios e 7 objetivos. Ele estabelece a base legal para o desenvolvimento de uma estratégia nacional de segurança da informação e de planos nacionais para a sua implementação com detalhes tais como planejamento, organização, uso de recursos e atribuição de responsabilidades. A PNSI também inclui medidas relacionadas a funções e responsabilidades no que tange à segurança da informação no âmbito da administração pública (veja abaixo).
Em 2019, o GSI/PR iniciou um processo para redigir a Estratégia Nacional de Segurança Cibernética recomendada na PNSI. Para instruir o desenvolvimento da estratégia, o GSI/PR organizou um processo de consultoria inspirado por aquele realizado para a estratégia digital. O processo incluiu uma consultoria de 7 meses com 31 reuniões nas quais 40 especialistas de órgãos governamentais, empresas e universidades, estiveram reunidos em 3 grupos de trabalho. Tendo como base as informações obtidas, o GSI/PR elaborou a Estratégia Nacional de Segurança Cibernética - E-Ciber, divulgada em setembro de 2019 para uma consulta pública de 20 dias por intermédio da plataforma governamental participativa.5 Quarenta e um participantes, incluindo 31 indivíduos e 10 organizações, postaram um total de 166 comentários na plataforma. A estratégia final foi adotada em 5 de fevereiro de 2020.6
A visão da estratégia é a de que o Brasil “se torne um país de excelência em segurança cibernética”. Os objetivos da estratégia são: tornar o Brasil mais próspero e confiável no ambiente digital; aumentar a resiliência brasileira às ameaças cibernéticas; e fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
A estratégia enfoca as dez ações seguintes:
1. Fortalecer as ações de governança em segurança cibernética, por parte do setor público e do setor privado. Essa ação inclui realizar fóruns, estabelecer requisitos mínimos nas contratações pelos órgãos públicos, incentivar padrões e normas do GSI/PR, incentivar padrões internacionais de segurança e proteger dados desde a sua concepção (by design) e por padrão (by default), designar um gestor de segurança da informação, recomendar uma certificação de segurança digital conforme padrões internacionais etc.
2. Estabelecer um modelo centralizado de governança no âmbito nacional. Será criado um sistema nacional de segurança cibernética com a finalidade de promover uma coordenação dos atores que vá além da esfera federal, promover a análise conjunta dos desafios enfrentados no combate a crimes cibernéticos, auxiliar na formulação de políticas públicas, criar um conselho nacional de segurança cibernética e criar grupos de debate em diferentes setores etc.
3. Promover um ambiente participativo, colaborativo, confiável e seguro entre o setor público, o setor privado e a sociedade. Essa ação tem por finalidade estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas, realizar treinamentos, fortalecer o CERT (CTIR Gov) nacional, emitir alertas e recomendações, estimular o uso de criptografia etc.
4. Elevar o nível de proteção do Governo, incluindo incentivar o uso de dispositivos de comunicação seguros, manter atualizados os sistemas de informação, recomendar o uso de mecanismos de backup, incluindo requisitos de segurança digital nos processos de privatização etc.
5. Elevar o nível de proteção das infraestruturas críticas nacionais mediante o incentivo de interações entre órgãos regulatórios setoriais, incentivar a adoção de políticas de segurança digital aprimoradas pelos operadores de infraestruturas críticas, incentivar a sua participação em treinamentos e a notificação de incidentes ao CTIR Gov.
6. Aprimorar o marco legal de segurança cibernética, incluindo atualização do marco atual, modificação do Código Penal para incluir crimes cibernéticos, criação de políticas de incentivo para reduzir a deficiência de mão de obra especializada em segurança cibernética, e preparação de um Projeto de Lei sobre segurança cibernética.
7. Incentivar a concepção de soluções inovadoras em segurança digital a fim de alinhar projetos acadêmicos com a demanda econômica. Por exemplo, incluir a segurança digital em programas de pesquisa, incentivar a criação de centros de pesquisa e desenvolvimento sobre segurança digital, estimular a criação de startups de segurança digital, incentivar a adoção de padrões globais para facilitar a interoperabilidade em escala internacional; estabelecer requisitos mínimos para a tecnologia 5G.
8. Ampliar a cooperação internacional do Brasil em segurança digital. Inclui a promoção de discussões em grupos internacionais dos quais o Brasil é membro, expandir as relações na América Latina, promover eventos e exercícios internacionais, ampliar acordos de cooperação etc.
9. Ampliar as parcerias de segurança digital entre os setores público, privado, acadêmico e a sociedade. Possíveis ações incluem parcerias a fim de incentivar investimentos privados na segurança digital, reuniões com atores de destaque em segurança digital etc.
10. Elevar o nível de maturidade da sociedade em relação à segurança digital. Por exemplo, realizar ações de conscientização da população; incentivar órgãos públicos e a iniciativa privada a criar campanhas internas de conscientização; integrar a segurança digital na educação básica; incentivar a criação de cursos de nível superior; promover cursos de treinamento profissional, melhorar os mecanismos de integração, colaboração e incentivos entre universidades, institutos, centros de pesquisa e o setor privado etc.
A estratégia inclui um diagnóstico para distinguir entre eixos temáticos e eixos transformadores:
Eixos temáticos: governança da segurança cibernética nacional, gestão de incidentes e proteção estratégica, isto é, proteção do governo e de infraestruturas críticas identificadas na Política Nacional de Infraestruturas Críticas (telecomunicações, energia, transporte, água, finanças).
Eixos transformadores: dimensão normativa, pesquisa, desenvolvimento e inovação; dimensão internacional e parcerias estratégicas; educação.
Em julho de 2019, o governo manifestou sua intenção de aderir à Convenção sobre Crimes Cibernéticos (Convenção de Budapeste). Em dezembro de 2019, o Comitê de Ministros do Conselho da Europa convidou o Brasil a integrar a Convenção (Ministério das Relações Exteriores, 2019).
Governança
De acordo com a PNSI, o GSI/PR é o principal órgão governamental encarregado da segurança digital no Brasil, função que vem exercendo desde 2000. Segundo a Estratégia Nacional de Segurança Cibernética de 2020, o GSI/PR continuará coordenando a segurança digital nacional.
O GSI/PR está no centro da governança da segurança digital
A responsabilidade do GSI/PR abrange três áreas:
Padrões de segurança da informação e suas implementações: determinar as normas para a gestão de riscos de segurança da informação nos órgãos e entidades da administração pública federal; aprovar diretrizes, estratégias, normas e recomendações; e elaborar e implementar programas sobre segurança da informação, objetivando elevar a conscientização e a capacitação da administração pública e da sociedade.
Políticas públicas: acompanhar a evolução doutrinária e tecnológica nacional e internacional; elaborar e publicar a Estratégia Nacional de Segurança da Informação em colaboração com o Comitê Interministerial para a Transformação Digital (veja abaixo); apoiar a elaboração de planos nacionais relacionados à Estratégia Nacional de Segurança da Informação; estabelecer os critérios para a avaliação da execução da PNSI; e propor a publicação dos atos normativos necessários para a sua execução.
Produtos: estabelecer os requisitos mínimos de segurança para o uso de produtos que incorporem recursos de segurança da informação, os quais são obrigatórios para a administração federal; esses requisitos não são obrigatórios no caso do mercado brasileiro em geral e, nesse caso, servem somente como recomendação.
O GSI/PR é um dos órgãos da Presidência da República. Ele é chefiado por um ministro que se reporta diretamente ao Presidente, a exemplo de todos os demais ministros brasileiros. O Gabinete de Segurança Institucional é responsável por analisar e monitorar questões relacionadas a potenciais riscos de estabilidade institucional; coordenar as atividades de inteligência federal e fornecer recomendações em questões militares e de segurança, além de outras funções de suporte ao Presidente.7 Até 2019, questões de segurança digital eram de responsabilidade do Departamento de Segurança da Informação e Comunicações (DSIC), no âmbito da Secretaria de Coordenação de Sistemas, que também responde por questões nucleares e espaciais.
Em 2019, o DSIC foi elevado de departamento a secretaria. Na comparação com um departamento, a secretaria se reporta diretamente ao ministro, administra seu próprio orçamento e dispõe de mais recursos. A Figura 4.4 mostra onde o Departamento de Segurança da Informação se situa dentro da estrutura mais ampla do GSI/PR. Essa evolução significativa, reflete o aumento da conscientização em relação à importância da segurança digital no governo. Com um orçamento de BRL 1.7 milhão (USD 433 000), a secretaria tinha 30 funcionários em janeiro de 2020 (incluindo 8 que trabalhavam para o CTIR.gov, veja abaixo), o que representa um aumento de 100% na comparação com 2019.
A maioria dos mais altos cargos no GSI/PR é ocupada por oficiais militares de alta patente.8 O GSI/PR também abrange a Agência Brasileira de Inteligência (ABIN) e a Secretaria de Assuntos de Defesa e Segurança Nacional, que se ocupa de questões relativas à segurança de infraestruturas críticas, coordena a gestão de crises e executa ações em torno da prevenção de crises. No entanto, muitos dos cargos recém-criados no Departamento de Segurança da Informação, são ocupados por funcionários de outros Ministérios, da Anatel e de empresas públicas.
O Departamento de Segurança da Informação (DSI) é responsável por:9
planejar e supervisionar a segurança da informação no âmbito da administração pública federal, incluindo gestão de incidentes, proteção de dados,10 credenciamento de segurança e manuseio de informações confidenciais
formular e implementar as políticas de segurança da informação da administração pública
elaborar requisitos metodológicos e normativos relacionados à segurança da informação no âmbito da administração pública federal
gerir os CSIRTs (CTIR.Gov) do governo, coordenando e realizando ações relativas à gestão de incidentes e coordenando a rede de CSIRTs de órgãos e entidades governamentais
propor e participar de tratados, acordos ou atos internacionais relacionados à segurança da informação
atuar como órgão central de credenciamento de segurança para o tratamento de informação classificada
fiscalizar o credenciamento de segurança de pessoas físicas, empresas, órgãos e entidades, para o tratamento de informações sigilosas
articular com os governos dos estados, do Distrito Federal e dos municípios, com a sociedade civil, e com órgãos e entidades do governo federal, o estabelecimento de diretrizes para as políticas públicas de segurança da informação.
O departamento inclui três coordenações principais:
1. A Coordenação-Geral do Núcleo de Segurança e Credenciamento (CGNSC ),11 que trata de questões relacionadas à classificação de informações no governo.
2. A Coordenação-Geral de Gestão da Segurança da Informação e Comunicações, (CGSIC),12 que elabora propostas para diretrizes de segurança da informação, estratégias, normas e recomendações; desenvolve propostas para o Plano Nacional de Segurança da Informação e monitora a sua execução; planeja e coordena medidas para orientar a implementação da segurança da informação, por exemplo, para aumentar a conscientização e o treinamento; e monitora a evolução doutrinária e tecnológica de atividades relacionadas à segurança da informação no âmbito nacional e internacional.
3. A Coordenação-Geral do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, CGCTIR (CTIR.Gov), o CSIRT13 do governo (descrito abaixo).
O CGSI, que abrange 21 ministérios e órgãos governamentais cobrindo grande parte da administração pública federal, fornece recomendações ao GSI/PR. O CGSI se reúne ao menos duas vezes ao ano e pode estabelecer até quatro subgrupos temporários que não podem ter mais de sete membros. O GSI/PR serve como secretaria executiva do CGSI.14 A operacionalização adicional desse comitê e a criação de grupos de trabalho, é um dos principais objetivos do DSI em 2020. Por exemplo, um grupo de trabalho no âmbito do Ministério da Economia está explorando os aspectos econômicos da segurança digital no Brasil.
Em novembro de 2018, o governo brasileiro publicou o Decreto 9.573, estabelecendo a Política Nacional de Segurança de Infraestruturas Críticas. A política tem como finalidade garantir a segurança e a resiliência da infraestrutura crítica do país e a continuidade dos serviços. Os princípios dessa política são: prevenção e precaução; integração entre diferentes esferas governamentais e do setor privado, além de outros segmentos da sociedade; redução de custos para a sociedade resultante de investimentos em segurança; e salvaguarda da defesa e da segurança nacional. A política também estabelece o Sistema Integrado de Dados de Segurança de Infraestruturas Críticas, a Estratégia Nacional de Segurança de Infraestruturas Críticas e o Plano Nacional de Segurança de Infraestruturas Críticas. Para tratar da complexidade da segurança digital de infraestruturas críticas, pretende-se estabelecer uma organização central para coordenar todos os atores envolvidos, públicos ou privados, além de exigir responsabilidade e ação.
Cada entidade do setor público é responsável por sua segurança digital
A PNSI estabelece um princípio geral, segundo o qual cada órgão e entidade da administração pública é responsável pela gestão da segurança digital em sua própria esfera de ação, inclusive por meio da elaboração de sua política de segurança da informação, designação de um gestor interno de segurança da informação, estabelecimento de um comitê de segurança da informação, treinamentos etc.15
O Ministério da Transparência e Controladoria-Geral da União é responsável por auditar a implementação das atividades da PNSI, sob a responsabilidade de organismos e entidades federais.
Banco Central do Brasil
Em abril de 2018, o Banco Central do Brasil (BCB) publicou uma resolução16 para estipular a política de segurança digital e requisitos sobre processamento e armazenamento de dados, incluindo a computação em nuvem. Tais requisitos devem ser observados por instituições financeiras, e outras organizações autorizadas pelo BCB a operar no mercado financeiro.
As instituições financeiras devem implementar e manter um modelo de políticas de segurança digital, respeitando os princípios e diretrizes de confidencialidade, integridade e disponibilidade de sistemas de informação e de dados.
O modelo de políticas deve incluir: os objetivos da segurança digital da instituição; procedimentos e controles para reduzir a sua vulnerabilidade; classificação de dados e informações por ordem de relevância; definição de parâmetros para avaliar incidentes; mecanismos para a disseminação da cultura de segurança digital na instituição; e iniciativas de compartilhamento de informações a respeito de incidentes importantes.
O BCB estabeleceu outros requisitos, como a divulgação da política de segurança digital a todos os funcionários; planos de ação e resposta a incidentes; rígidas medidas de segurança ao contratar processamento de dados, armazenamento e computação em nuvem; e estabelecer mecanismos de monitoramento e controle para assegurar a implementação e a eficácia da política de segurança digital.
O BCB pode excluir ou restringir contratos de serviços de processamento de dados, armazenamento e computação em nuvem, sempre que detectar não conformidades em relação aos termos da resolução ou outros regulamentos do BCB. O BCB pode, então, estabelecer um prazo para o restabelecimento da conformidade.
A expertise técnica de segurança digital do BCB depende, em parte, de seu CSIRT, que presta serviços ao setor financeiro e está em contato com grandes bancos no país.
ComDCiber (Ministério da Defesa)
Questões relacionadas à segurança nacional e à defesa cibernética nacional que não fazem parte do escopo desta seção, são de responsabilidade do Comando de Defesa Cibernética (ComDCiber) e do Centro de Defesa Cibernética (CDCiber), ambos organismos especializados sob o comando do Exército Brasileiro. No entanto, é importante destacar o papel do ComDCiber, que dispõe de recursos e pessoal significativamente maiores que o GSI/PR, especialmente no nível técnico, e pode tomar iniciativas que não se limitam estritamente à proteção na área da defesa, tais como o Exercício Guardião Cibernético.
A segunda edição do Exercício Guardião Cibernético ocorreu de 2 a 4 de julho de 2019 no ComDCiber em Brasília. Cerca de 200 membros de 40 organizações participaram desse treinamento simulado de segurança digital, incluindo representantes dos setores financeiro, nuclear, elétrico e de telecomunicações. O ComDCiber conduziu o treinamento simulado em um ambiente compartilhado com outros órgãos. A iniciativa promoveu a ação colaborativa entre órgãos governamentais, o meio acadêmico, organizações do setor privado e a comunidade de segurança e defesa em geral.
A simulação virtual usou o programa Simulador de Operações Cibernéticas (SIMOC), que emulou sistemas computacionais usados pelos órgãos e empresas participantes. A simulação construtiva usou tecnologia da informação, mídias, gabinetes de crise de departamentos jurídicos e de gestão sênior, que forneceram soluções para incidentes de segurança que poderiam impactar as referidas organizações. As discussões nos gabinetes de crise resultaram em ações no nível de tomada de decisão e gestão (gestão de crises) e no nível técnico (resposta a incidentes). Por meio do SIMOC, situações de ataque contra infraestruturas críticas foram reproduzidas em ambientes elétricos, de telecomunicações, financeiros e nucleares.
Por exemplo, o exercício nuclear abrangia três grupos trabalhando em cooperação: o gabinete de crise, a equipe de implementação do marco regulatório nuclear e a equipe de teste de sistemas digitais. A equipe de testes de sistemas usou um simulador para testar os sistemas digitais instalados em usinas nucleares, que faz as vezes de ferramenta de treinamento cibernético. O simulador é parte de um projeto da Agência Nacional de Energia Atômica, desenvolvido pelo Centro de Tecnologia da Marinha e da Universidade de São Paulo. Ele é usado por 17 instituições de 13 países.
Os participantes atuaram de maneira colaborativa, a fim de prevenir e resolver incidentes envolvendo ativos da informação importantes à defesa nacional. Com esse treinamento, o ComDCiber tem como objetivo integrar o governo, o setor privado e o meio acadêmico na melhora da proteção do ciberespaço nacional.
Outros atores da governança da segurança digital no Brasil
Instituto Nacional de Tecnologia da Informação
O Instituto Nacional de Tecnologia da Informação (ITI) mantém e implementa as políticas da ICP-Brasil, incluindo a operação da Autoridade Certificadora Raiz. O ITI também é responsável pelo credenciamento, descredenciamento, supervisão e auditoria dos outros participantes da cadeia de confiança.17 O ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República. O ITI segue as normas operacionais estabelecidas pelo Comitê Gestor da ICP-Brasil, cujos membros são nomeados pelo Presidente da República e incluem representantes de autoridades públicas, da sociedade civil e do meio acadêmico.18 O Comitê Gestor da ICP-Brasil, o ITI e entidades certificadas realizam auditorias na ICP brasileira.19 Há atualmente 17 autoridades certificadoras de 1º nível no Brasil20 e 8 autoridades de carimbo do tempo.21
Anatel, a reguladora de telecomunicações
Na qualidade de reguladora de telecomunicações no Brasil, a Anatel também tem um papel na segurança digital do país. Atualmente, a cooperação e o compartilhamento de informações acerca da segurança digital no setor privado são limitados, exceto no caso de relacionamentos pessoais de confiança entre pessoas-chave. Até o momento, a segurança no setor de telecomunicações é basicamente autorregulada. A Anatel começou a focar nessa questão por meio de uma consulta pública lançada no final de 2018 e que pode resultar no estabelecimento de um comitê de especialistas composto por todos os atores (p.ex., operadores, fornecedores de equipamentos etc.) com o objetivo de compartilhar experiências, discutir coletivamente possíveis questões a serem tratadas, identificar requisitos mínimos, boas práticas etc. A Anatel é responsável pela certificação de equipamentos de telecomunicações, inclusive no que tange a requisitos de segurança.
A Anatel adotou regulamentos com respeito à proteção de infraestruturas críticas e opera em cooperação com o Ministério da Defesa em treinamentos (cf. Guardião Cibernético).
Centros de estudos, resposta e tratamento de incidentes de segurança, e grupos de resposta a incidentes de segurança em computadores
Há mais de 40 Centros de Estudos, Resposta e Tratamento de Incidentes de Segurança (computer emergency response teams, CERTs) e Grupos de Resposta a Incidentes de Segurança em Computadores (computer security incident response teams, CSIRTs) no Brasil, que podem ser agrupados em 8 categorias: 1) responsabilidade nacional; 2) coordenação internacional; 3) infraestruturas críticas; 4) corporativo; 5) provedores; 6) acadêmico; 7) governo; e 8) militar. Eles cooperam em um ecossistema abrangente com uma combinação de relacionamentos de confiança institucionais e pessoais. Dois desses têm responsabilidade nacional e atuam como pontos de contato internacionais: O CTIR.gov (acima mencionado) atua no governo federal e o CERT.br atua no setor privado.
O CERT.br é mantido pelo NIC.br, o braço executivo do Comitê Gestor da Internet no Brasil (CGI.br). Ele é responsável por:
Tratar relatórios voluntários de incidentes de segurança em computadores e atividades relacionadas às redes conectadas à Internet no Brasil. O CERT.br coleta relatórios de incidentes de qualquer organização e cidadão. Atua como um ponto central para notificações de incidentes de segurança no país, além de coordenar e apoiar as organizações envolvidas nos incidentes.
Aumentar a conscientização em torno de problemas de segurança. Junto com o NIC.br e o CGI.br, o CERT.br contribui para o portal Internetsegura.br, que fornece ampla gama de material educacional para diversos públicos-alvo (crianças, adolescentes, professores, idosos etc). O portal também fornece links a muitas outras atividades educacionais e de conscientização, que são realizadas por outras entidades no Brasil.22
Realizar atividades de monitoramento de rede e de análise de tendências, inclusive mediante a manutenção de um projeto de alerta precoce para identificar novas tendências e eventos de segurança correlacionados, além de alertar sobre redes brasileiras envolvidas em atividades mal-intencionadas. O CERT.br é um parceiro de pesquisa do Anti-Phishing Working Group (Grupo de Trabalho Anti-Phishing) e membro do Honeynet Project, com o HoneyTARG Chapter.
Realizar atividades de treinamento e capacitação. O CERT.br ajuda novos CSIRTS a estabelecer suas atividades no país, e ministra treinamentos para profissionais de segurança da informação dos setores público e privado.23
Participar em fóruns internacionais dos CSIRTs. O CERT.br lidera as iniciativas LACNIC CSIRT que promovem a cooperação na América Latina. O CERT.br também participa do Fórum Global de Resposta a Incidentes e Grupos de Segurança (Forum of Incident Response and Security Teams, FIRST) como membro e por meio de iniciativas que têm como objetivo melhorar as capacidades globais de tratamento de incidentes. O gerente geral do CERT.br atuou como membro do Conselho do FIRST entre 2012/13 e a equipe do CERT.br atualmente participa de três grupos de trabalho do FIRST (CSIRT Services Framework, Membership Committee and Ethics SIG).
O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR.Gov), uma divisão do Gabinete de Segurança Institucional da Presidência da República, lida com incidentes em redes da administração federal do Brasil. O CTIR.Gov atua na implementação de acordos de cooperação com outras equipes federais de tratamento de incidentes e também com outros CSIRTS nacionais e internacionais, públicos e privados, tendo como objetivo a cooperação técnica e a assistência mútua no tratamento de incidentes de segurança. O CTIR.Gov fornece:
Serviços reativos iniciados assim que a notificação é recebida, seguidos da análise apropriada do incidente e de interações com o originador. Padrões e tendências reveladas pela contínua observação de incidentes, servem de subsídio para recomendações de segurança emitidas às entidades em questão.
Serviços proativos elaborados para prevenir incidentes ou reduzir o impacto de eventos supervenientes. Esses serviços são compostos pela análise de ativos da informação e por estruturas constitutivas de diferentes ambientes de tecnologia da informação na administração federal, e oferecem um amplo panorama dos recursos disponíveis, seus valores e riscos associados.
O CERT.br e o CTIR possuem equipes de dez e oito pessoas, respectivamente. O CTIR dobrou o seu número de funcionários em 2019. Os CERTs atuam de maneira colaborativa com outros CERTs de confiança, tanto no Brasil como no exterior. A Rede Nacional de Ensino e Pesquisa, possui seu próprio Centro de Atendimento a Incidentes de Segurança (CAIS).24 Com mais de 20 anos de experiência, o CAIS foi um dos primeiros grupos de resposta a incidentes de segurança a operar nacionalmente na detecção, resolução e prevenção de incidentes na rede acadêmica.
Principais descobertas e desafios
O Brasil atingiu um momento decisivo entre 2018-19, com a adoção de sua Estratégia para a Transformação Digital, sua Política Nacional de Segurança da Informação e sua Estratégia Nacional de Segurança Cibernética. Uma análise dos documentos legais existentes, combinada com elementos reunidos durante entrevistas, revelaram descobertas importantes.
O foco principal da segurança digital do Brasil na segurança nacional está evoluindo para incluir aspectos econômicos e sociais
O foco das políticas de segurança digital no Brasil evoluiu de uma dimensão técnica de 2000-11, para uma dimensão de segurança nacional de 2012-18, impulsionado em parte pela organização de megaeventos e pelas revelações de Edward Snowden sobre a espionagem cibernética dos Estados Unidos. A missão abrangente da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética na Administração Pública Federal 2015-2018, que tinha por objetivo “assegurar e defender os interesses do estado e da sociedade para a preservação da soberania nacional”, ilustra essa evolução.
A Estratégia para a Transformação Digital de 2018, que tem como objetivo “adotar a transformação digital como oportunidade para a nação inteira dar um salto adiante”, é a primeira política brasileira a tratar a segurança digital como parte de uma ampla agenda de prosperidade e não somente do ponto de vista da segurança nacional. A segurança digital é apresentada como parte de um eixo temático de capacitação sobre “confiança” e ações estratégicas recomendadas, que focam basicamente em medidas que podem apoiar a transformação digital no Brasil do ponto de vista econômico e social. O eixo temático também trata da “proteção de direitos e da privacidade”, repercutindo a dimensão da política de confiança no Marco de Políticas Integradas “A Caminho da Era Digital” da OCDE (OCDE, 2019a). A Estratégia para a Transformação Digital pode, por isso, ser vista como um primeiro passo em direção à ampliação do escopo das políticas de segurança digital brasileiras, a fim de gerar prosperidade econômica e social.
A PNSI, publicada mais tarde em 2018, inclui soberania nacional e direitos humanos como primeiro e segundo princípios, mas não considera a prosperidade econômica e social como um objetivo da segurança digital.
Uma comparação desses dois documentos mostra que essa evolução é progressiva. É provável que cada documento reflita a perspectiva do órgão governamental que o preparou, a saber, o Ministério da Ciência, Tecnologia, Inovações e Comunicações para a Estratégia de Transformação Digital; e o GSI/PR para a PNSI. O teor da Estratégia Nacional de Segurança Cibernética e o processo de consulta realizado pelo GSI/PR para o seu desenvolvimento, demonstra que o Brasil caminha na direção de uma abordagem mais holística em relação à segurança digital, aumentando a ênfase na dimensão econômica e social.
O Brasil está na fase inicial da promoção da segurança digital na sociedade
A percepção geral entre os especialistas no Brasil, é a de que o governo está começando a elevar a segurança digital à posição de prioridade para a economia e a sociedade e que, exceto pelas empresas muito grandes e alguns órgãos públicos especiais, a maior parte dos atores públicos e privados não está dando atenção e recursos suficientes a essa questão.
Além disso, com o tempo, os documentos legais no Brasil vêm usando conceitos e termos diferentes para cobrir aspectos diferentes da segurança digital, incluindo segurança da informação, segurança cibernética, defesa cibernética, proteção de dados, além de termos relacionados, como ativos da informação, infraestruturas críticas, espaço cibernético etc. Quando disponíveis, as definições nem sempre têm sido consistentes ao longo do tempo, o que pode ser explicado por muitos fatores, incluindo o fato de que as abordagens em si vêm evoluindo. Mas as definições por vezes são confusas. Por exemplo, a PNSI define segurança da informação, como um termo que inclui segurança cibernética, defesa cibernética, segurança física e proteção de dados organizacionais; além de ações que têm como objetivo assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação (Artigo 2). Isso sugere que ações que têm como finalidade assegurar a disponibilidade, integridade, confidencialidade e autenticidade, são diferentes de segurança cibernética e defesa cibernética, termos estes que por si sós, não são ali definidos.25
Além disso, entrevistas realizadas para essa Revisão mostraram que, além de um círculo de especialistas em “segurança da informação”, há uma confusão generalizada entre segurança digital e “proteção de dados” (isto é, proteção da privacidade). Muitas partes interessadas não distinguem entre as duas áreas e não entendem a sua relação, incluindo como elas podem reforçar ou enfraquecer uma à outra. Essa situação deve se modificar após a implementação plena da lei de proteção de dados no Brasil.
Isso mostra que, a base conceitual para discutir a política de segurança digital no Brasil evoluiu consideravelmente na última década e, com a adoção da Estratégia Nacional de Segurança Cibernética, está entrando em uma nova fase.
Nessa conjuntura, um desafio importante para o Brasil é reconhecer que, embora em teoria, a “segurança cibernética” (ou “segurança da informação”, dependendo da terminologia preferida) possa ser vista como um desafio monolítico, ela é, na realidade, uma área multidimensional de políticas. Na prática, ela pode abranger ao menos quatro dimensões: 1) segurança nacional; 2) prosperidade econômica e social; 3) tecnologia; e 4) aplicação da lei (Figura 4.5).
Os atores e comunidades que se ocupam de cada dimensão, têm diferentes culturas, formações e objetivos; e podem por vezes convergir, sobrepor-se ou competir, dependendo do contexto e da questão precisa. A política da criptografia é um exemplo típico de objetivos conflitantes: empresas, organizações e consumidores, promovem o uso não regulado da criptografia para gerar confiança, facilitar o e-commerce e apoiar governos digitais e inovação on-line, enquanto agentes da lei e de inteligência, pedem mais regulamentos para facilitar o acesso a dados criptografados, a fim de combater criminosos e terroristas. A segurança digital de atividades e infraestruturas críticas, é outro exemplo de uma área na qual podem surgir tensões entre prosperidade econômica e social, e objetivos de segurança nacional, dependendo da situação.
De maneira ideal, a terminologia deveria refletir distinções entre as dimensões da segurança digital. Por exemplo, para diminuir a confusão e potenciais mal-entendidos, a Recomendação sobre Riscos de Segurança, de 2015, usa o termo “digital” em vez do prefixo “ciber”. O termo “digital” é consistente com expressões que caracterizam o ponto de vista econômico e social das políticas de TIC, como em “economia digital”, “transformação digital”, “digitalização” etc. Ele também é comum em ambientes empresariais. Em contraste, o prefixo “ciber” é comumente usado em relação à aplicação da lei (crime cibernético), bem como em segurança nacional/internacional (guerra cibernética, defesa cibernética, espionagem cibernética, comando cibernético etc). A Recomendação sobre Riscos de Segurança também usa a expressão “ambiente digital” em vez de “espaço cibernético”, sendo este último mais comum em doutrinas militares como um domínio de operações que vai além dos domínios aéreo, marítimo e terrestre.
A principal prioridade do Brasil é aumentar a conscientização e promover a adoção de boas práticas de segurança digital entre as partes interessadas
O Brasil deu um importante passo adiante, com o reconhecimento da segurança digital como um facilitador de prosperidade econômica, na Estratégia Brasileira para a Transformação Digital (E-Digital). Alinhado com o primeiro princípio da Recomendação sobre Riscos de Segurança da OCDE (Quadro 4.2), a próxima etapa é aumentar a conscientização das empresas, das organizações públicas e dos indivíduos em relação à importância da segurança digital, para estimular a confiança e apoiar a transformação digital, além de incentivá-los a adotar boas práticas de segurança digital, melhorar suas competências em segurança digital e empoderá-los a gerir os riscos de segurança digital.
Quadro 4.2. Princípios da Recomendação do Conselho sobre Gestão de Riscos de Segurança Digital para a Prosperidade Econômica e Social da OCDE
A Recomendação sobre Riscos de Segurança de 2015, inclui oito princípios que descrevem como tratar da segurança digital, sem impedir os benefícios econômicos e sociais das tecnologias digitais. Elas se baseiam no entendimento de que o objetivo abrangente da segurança digital, é aumentar a probabilidade de sucesso de uma atividade econômica e social, em vez de criar um estado de segurança, isto é, eliminar inteiramente o risco. A segurança é um facilitador da prosperidade, não um fim em si, portanto ela deveria ser um processo voltado ao negócio e não à tecnologia. Os tomadores de decisão nas organizações, devem administrar as oportunidades econômicas e os riscos de segurança que provém do uso das tecnologias digitais em conjunto. Para poder tomar as decisões de gestão de riscos mais apropriadas desde uma perspectiva empresarial, os líderes e tomadores de decisão devem ser responsáveis pela gestão de riscos de segurança, em vez de delegá-la aos especialistas técnicos em segurança digital. Mas devem trabalhar com os especialistas para compreender as ameaças, as vulnerabilidades e as opções em relação à redução dos riscos.
Princípios gerais
1. Consciência, competências e empoderamento. Todas as partes interessadas devem entender os riscos de segurança digital e saber como geri-los.
2. Responsabilidade. Todas as partes interessadas devem assumir a responsabilidade pela gestão dos riscos de segurança digital.
3. Direitos humanos e valores fundamentais. Todas as partes interessadas devem gerir os riscos de segurança digital, de uma maneira transparente e consistente com os direitos humanos e os valores fundamentais.
4. Cooperação. Todas as partes interessadas devem cooperar, inclusive além-fronteiras.
Princípios operacionais
5. Avaliação de riscos e ciclos de tratamento. Os líderes e tomadores de decisão devem assegurar-se de que os riscos de segurança digital sejam tratados com base na contínua avaliação de riscos.
6. Medidas de Segurança. Os líderes e tomadores de decisão devem assegurar-se de que as medidas de segurança sejam apropriadas e proporcionais ao risco.
7. Inovação. Os líderes e tomadores de decisão devem assegurar-se de que a inovação seja levada em conta.
8. Prontidão e continuidade. Os líderes e tomadores de decisão devem assegurar-se de que planos de prontidão e continuidade sejam adotados.
Fonte: OCDE (2015), Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, https://doi.org/10.1787/9789264245471-en.
Para que isso seja possível, é importante compreender que, nas organizações, a segurança digital representa, basicamente, um desafio econômico e social em vez de só uma questão técnica, além da necessidade de entender a razão pela qual a gestão dos riscos de segurança deveria ser um processo empresarial, e não um processo técnico.
Primeiro, incidentes de segurança digital, em decorrência de insuficiente gestão de riscos de segurança digital, vão prejudicar os objetivos econômicos e sociais, as operações, a competitividade e a reputação da organização, além de afetar a confiança de seus clientes e usuários e, potencialmente, a privacidade deles. Por esse motivo, assegurar a gestão efetiva dos riscos de segurança digital, deveria ser algo de responsabilidade dos líderes das empresas (não da equipe técnica). Na medida em que a segurança digital pode ameaçar a organização como um todo, ela deveria ser vista como prioridade pelo nível mais alto de liderança e ter o apoio do conselho de uma maneira que abrangesse a organização toda.
Segundo, embora as medidas de segurança digital tenham como objetivo a proteção das atividades econômicas e sociais, também podem dificultá-las devido ao aumento de custos e redução do desempenho. Dificuldades podem igualmente surgir por causa da abertura e da natureza dinâmica do ambiente digital, que são essenciais para a concretização dos benefícios plenos da transformação digital. Os tomadores de decisão (ao contrário do quadro técnico) das empresas, devem ser responsáveis pelos riscos digitais relacionados às suas atividades empresariais, em vez de delegar a responsabilidade aos especialistas técnicos em segurança. Embora os especialistas técnicos em segurança compreendam os aspectos técnicos dos riscos de segurança digital, não conseguem avaliar o possível impacto empresarial que as medidas de segurança têm em cada setor da empresa e em suas atividades de apoio. Mas os especialistas técnicos devem instruir os tomadores de decisão da melhor forma possível, para garantir que as decisões em torno da gestão de riscos ocorram com base em informações sólidas.
Por exemplo, uma opção para eliminar um vírus de um sistema pode ser desligar esse sistema, fazer a limpeza e então religá-lo. Embora tal decisão possa soar técnica, ela é, de fato, empresarial. Afinal, a interrupção do sistema pode acarretar consequências comerciais negativas, como, por exemplo, a paralização de uma linha de produção, ou a impossibilidade de registrar pedidos de clientes etc. O tomador de decisão que é responsável pela interrupção do sistema, também deve ser responsável pelas possíveis consequências negativas da decisão. Mas ele depende dos especialistas técnicos, para poder avaliar o risco técnico da maneira mais exata possível e tomar uma decisão bem fundada em relação à gestão desse risco.
Por último, embora tenham por objetivo criar confiança, as medidas de segurança digital também podem minar a confiança, por levantar suspeitas em relação aos direitos humanos ou aos valores fundamentais, especialmente a privacidade. A segurança digital e a proteção da privacidade podem reforçar ou minar uma à outra, dependendo de como são geridas. É essencial, portanto, que a segurança digital e a proteção da privacidade sejam tratadas de uma maneira consistente, inclusive do ponto de vista jurídico e ético.
Consequentemente, os líderes e tomadores de decisão das organizações, devem adotar uma abordagem empresarial (em vez de tecnológica), que conduza à seleção e à gestão mais apropriada das medidas de segurança digital, em face das atividades econômicas e sociais em jogo, e da necessidade de haver confiança. Eles devem entender e ser responsáveis pelos riscos de segurança digital, além de trabalhar em cooperação com os especialistas técnicos em segurança ao tomar suas decisões relativas à segurança digital.
Isso quer dizer que as políticas públicas que pretendem incentivar as empresas e as organizações públicas a aumentarem sua segurança digital, devem ter como alvo os líderes e tomadores de decisão, e também os profissionais e especialistas de TIC, em vez de só esses últimos.
As políticas brasileiras promovem uma abordagem de gestão de riscos em relação à segurança digital (p.ex., a PNSI, Artigo 3-VIII) e incentivam a implementação de padrões de gestão de riscos de segurança da informação na administração pública. No entanto, elas se concentram basicamente na proteção de sistemas de informação, redes e dados, em vez de nas atividades econômicas e sociais que dependem delas. Em outras palavras, as políticas brasileiras tratam segurança digital como uma questão técnica e não uma questão econômica e social. A maioria dos países seguiram na mesma direção, em ritmos diferentes, e muitos estão lutando para mudar de uma abordagem técnica para uma abordagem econômica e social, no que diz respeito à segurança digital. O desenvolvimento da Estratégia Nacional de Segurança Cibernética oferece uma oportunidade para que o Brasil progrida nessa área.
O Brasil deveria estabelecer uma governança mais robusta e com melhores recursos em relação à segurança digital
A Estratégia Brasileira para a Transformação Digital, a PNSI e a Estratégia Nacional de Segurança Cibernética abrangem muitos aspectos importantes de um marco de políticas de segurança digital atualizado. Incluem-se padrões e normas de segurança digital na administração pública, aumento da conscientização, desenvolvimento da educação e de competências, pesquisa e inovação, proteção de infraestruturas críticas etc. No entanto, a maioria é tratada num nível muito alto e as medidas para a implementação ainda não foram definidas. Planos de implementação devem preencher essas lacunas. A definição e a implementação de muitos desses planos vai exigir a colaboração entre vários órgãos do governo federal, organismos regionais e locais, além de partes interessadas não governamentais.
A Estratégia Brasileira para a Transformação Digital e a PNSI, também mencionam direitos humanos, valores fundamentais e privacidade, além da colaboração entre as partes interessadas. Essas áreas são particularmente importantes e podem representar um desafio para o Brasil.
Desde 2006, a governança da segurança digital vem sendo coordenada pelo GSI/PR, entidade que desenvolveu certo grau de expertise nessa área, mas que é caracterizada por sua cultura nacional de segurança/militar. Durante esse período, alguns criticaram
a excessiva securitização e uma acentuada militarização da segurança cibernética; a exclusão de partes interessadas não-estatais da definição de termos relevantes para a agenda política; a preferência, cada vez maior, por soluções que buscam o bloqueio de aplicações e a remoção de conteúdo; e a dificuldade de coordenação no âmbito da Administração Pública Federal (Hurel e Cruz Lobato, 2018).
O Departamento de Segurança da Informação do GSI/PR se reporta ao mesmo ministro que a Agência Brasileira de Inteligência.
Um desafio importante para o GSI/PR, será o de construir uma relação de confiança com outros órgãos governamentais em diferentes âmbitos (p.ex., federal, regional, local etc), empresas (incluindo empresas estrangeiras) e atores não-governamentais a fim de estabelecer uma parceria de longa duração para promover a segurança digital em prol da prosperidade do Brasil.
O Departamento de Segurança da Informação do GSI/PR evoluiu de maneira significativa com o tempo. Seu quadro de pessoal é maior e mais diversificado, goza de maior reconhecimento no âmbito político, especialmente depois de sua elevação à condição de secretaria. O Departamento também adotou uma cultura mais aberta, ilustrada pelos grupos de trabalho organizados para desenvolver o primeiro rascunho da Estratégia Nacional de Segurança Cibernética, por meio da consulta pública realizada a fim de reunir informações para o documento. Muitas partes interessadas elogiaram essa evolução, observando, no entanto, que o processo de consulta poderia ter-se beneficiado de uma maior publicidade a fim de envolver mais atores. Trata-se, definitivamente, de um passo na direção certa.
Outro desafio importante, é o fato de o GSI/PR não ter competência para regular o setor privado. Em vez de regular, ele publica padrões, torna a sua implementação obrigatória pela administração federal e promove a sua adoção voluntária por parte de outras partes interessadas, incluindo diversos outros meios, como exigir a conformidade com esses padrões no caso de licitações públicas. A abordagem de governança geral brasileira, no que que diz respeito à regulação da segurança digital, é descentralizada: conforme ilustrado pelo exemplo do Banco Central acima, os reguladores setoriais são competentes para regular a segurança digital em suas áreas. Uma vez que não existe um órgão central de segurança digital no Brasil, os reguladores setoriais são convidados a se basear nos padrões e boas práticas fornecidos pelo GSI/PR. Essa abordagem está mais próxima da adotada pela Suécia e pelo Reino Unido, do que daquela adotada pela França.
Não existe um modelo universal de governança de políticas de segurança digital. Abordagens centralizadas e descentralizadas têm diferentes prós e contras. Por exemplo, a abordagem descentralizada permite que as regulações setoriais sejam concebidas por reguladores setoriais, para serem mais adequadas às especificidades do setor. No entanto, cria-se aqui a questão de cada regulador setorial agregar uma massa crítica suficiente de expertise, para ser capaz de criar um regulamento balanceado e efetivo, e de supervisionar a sua implementação. Também se cria uma situação na qual, as entidades reguladas podem ficar relutantes em compartilhar informações relacionadas à segurança digital, com um órgão governamental encarregado de regular suas atividades de maneira geral.
Via de regra, a maioria dos governos tem se esforçado para estabelecer a estrutura de governança mais apropriada na questão da segurança cibernética, tendo dificuldades para encontrar o equilíbrio correto entre aspectos econômicos e sociais, de segurança nacional, de aplicação do direito penal e de caráter técnico. Uma boa prática é reconhecer a necessidade de haver uma abordagem integral do governo (whole-of-government), cordenada no seu âmbito mais elevado e visando equilibrar os objetivos potencialmente conflitantes de cada dimensão. No entanto, novamente, não existe um modelo ‘tamanho único’ sobre como implementar essa boa prática. Estruturas de governança e mecanismos de coordenação variam de maneira considerável, refletindo a história do país, seu estilo de governo e a sua maturidade nessa área.
Por exemplo, Austrália, Japão e Reino Unido atribuíram a coordenação dessas políticas ao Primeiro Ministro, por meio de uma equipe que trabalha no seu Gabinete de Governo. A França estabeleceu uma agência de coordenação nacional, no âmbito de um órgão de coordenação pré-existente que é subordinado ao Primeiro Ministro (ANSSI) e Israel criou uma agência nacional que responde diretamente ao Primeiro Ministro (INCD); os Estados Unidos estabeleceram uma agência de segurança cibernética e de infraestrutura (CISA), em seu Departamento de Segurança Interna (Home Security); Canadá, Alemanha e Holanda atribuíram a principal responsabilidade pela segurança digital a um ministério existente (Segurança Pública; Interior; e Segurança e Justiça, respectivamente). Em todos esses casos, há diferentes arranjos no que diz respeito a qual órgão é, ou quais órgãos são responsáveis por questões operacionais e de políticas. Por exemplo, no Reino Unido, o Departamento de Cultura, Mídia e Esportes é responsável pela política econômica e social, enquanto o Centro Nacional de Segurança Cibernética responde pelos aspectos operacionais. Na França, por sua vez, ambos os aspectos são tratados em uma agência centralizada. Na Alemanha, o Ministério do Interior exerce a liderança no estabelecimento de políticas públicas, mas o Departamento Federal de Segurança da Informação, detém a competência e a responsabilidade técnica. Por último, a coordenação entre as várias partes interessadas, também é solidamente exercida nos diversos países, embora varie em sua forma. Em muitos países, foram redigidas diversas versões da estratégia de segurança cibernética inicial, até que um modelo de governança relativamente estável fosse estabelecido.
Conclusões e recomendações
A nova Estratégia Nacional de Segurança Cibernética é claramente um passo na direção certa. No entanto, na medida em que as iniciativas econômicas e sociais para promover a segurança digital precisam ser escalonadas, a fim de atender às expectativas do governo refletidas na Estratégia para a Transformação Digital, diversas questões vêm à tona.
Implementação da estratégia
A adoção da estratégia é um excelente primeiro passo, mas agora é preciso que ele se traduza em itens de ação específicos. Nesse sentido, é importante reconhecer que o Brasil está em um estágio inicial de desenvolvimento na área e precisa adotar uma abordagem passo a passo, distinguindo prioridades de curto, médio e longo prazo.
Recomendações de políticas: Para desenvolver o cronograma de implementação da Estratégia Nacional de Segurança Cibernética, o governo deve elaborar e expandir os esforços de múltiplos atores envidados no desenvolvimento da estratégia. Por exemplo, o governo poderia criar uma ampla comunidade de líderes em segurança digital nos setores acadêmico, público e privado, juntamente com a sociedade civil, a fim de realizar encontros anuais para desenvolver o plano de implementação, e avaliar os progressos em sua implementação ao longo do tempo. Esses encontros também representariam uma oportunidade para que a comunidade brasileira de segurança digital como um todo, composta por várias partes interessadas, possa emergir, reunir-se e dialogar, inclusive por meio de uma conferência nacional. A comunidade poderia ter como meta, se tornar um dia, o principal evento de segurança cibernética no Brasil e na América Latina, a exemplo da Cyber Week israelense (Tel Aviv), da ONE Conference holandesa (Haia), do International Cybersecurity Forum da França (Lille) ou da Singapore International Cyber Week.
Pelo fato de estar em um estágio inicial, o aumento da conscientização e a educação, são fatores particularmente críticos. Na prática, o Brasil deve identificar as lacunas quanto à conscientização e conhecimentos sobre segurança digital, na sociedade, no governo, e entre as empresas, e os indivíduos. Nessa base, o país deve desenvolver um plano de ação, para reforçar os programas de treinamento e educação em segurança digital em todos os níveis (fundamental, médio e superior, além de treinamentos vocacionais), identificar os especialistas em segurança digital existentes que possam ensinar e formar treinadores, talvez por meio de um cadastro nacional de treinadores em segurança digital; e incentivar os estudantes a buscar carreiras no setor de segurança digital. A recém-publicada Estratégia Nacional de Segurança Cibernética (E-Ciber) aponta nessa direção.
Também será importante que o Brasil avalie periodicamente a eficácia de sua estratégia, conforme demonstrado pelas experiências dos países da OCDE. O Brasil se beneficiaria do desenvolvimento de ferramentas para avaliar a implementação da estratégia, examinar o progresso feito e a necessidade de revisá-la.
Recursos
Para implementar a Estratégia Nacional de Segurança Cibernética e corresponder à ambição de sua Estratégia para a Transformação Digital, o Brasil deverá fazer um esforço significativo e alocar mais recursos à segurança digital. Em um único ano, o governo dobrou os recursos para a segurança digital no GSI/PR. No entanto, com somente 30 pessoas tratando da segurança digital, incluindo 8 para resposta a incidentes, serão necessários mais recursos financeiros e humanos durante vários anos.
Recomendações de políticas: O governo deveria considerar a alocação de consideravelmente mais recursos para a segurança digital, como meio de garantir a implementação apropriada da Estratégia Nacional de Segurança Cibernética. Por exemplo, cada área abrangida pelo plano de implementação poderia receber um orçamento claro, por um período bem definido, a fim de atingir marcos igualmente claros e também mensuráveis. Os recursos não deveriam ser alocados somente à tecnologia, mas deveriam cobrir também todos os outros aspectos. Além disso, o governo poderia trabalhar com os setores privado e acadêmico para entender melhor o custo da atividade digital maliciosa sobre a economia.
Coordenação e responsabilidades descentralizadas
De acordo com a Estratégia Nacional de Segurança Cibernética, o GSI/PR vai continuar coordenando a segurança digital nacional. O GSI/PR é a instituição mais apropriada para promover a gestão de riscos de segurança digital junto ao setor privado, para incentivar a inovação na segurança digital, além de estimular a educação e o treinamento em relação à segurança digital etc.
Recomendações de políticas: Ao que parece, para obter os melhores resultados, o Brasil deveria seguir uma abordagem coordenada descentralizada, na qual diferentes ministérios e órgãos exerceriam a liderança em suas áreas de competência, dessa forma, alavancando sua expertise e suas redes, enquanto ao GSI/PR caberia um papel de coordenação. No entanto, no momento, a expertise em segurança digital existente é limitada e poderia ser alavancada fora do GSI/PR, para desenvolver iniciativas mais customizadas sob a liderança de outros ministérios e órgãos. Uma opção seria o Brasil treinar especialistas em políticas de segurança digital a fim de, progressivamente, capacitar cada ministério e órgão a iniciar o desenvolvimento e a implementação de planos de ação em suas respectivas áreas.
Diálogo com múltiplos atores
Será a cultura militar e de segurança nacional inerente ao GSI/PR, apropriada no longo prazo, para promover a segurança digital como um desafio econômico e social, e para facilitar relacionamentos de confiança com todos os atores econômicos e sociais? A segurança digital é uma prioridade das políticas econômicas e sociais que exige a participação de todos os atores. É essencial que haja uma confiança sustentável entre o órgão governamental de coordenação, outras partes do governo e atores não-governamentais. A confiança sustentável tem como objetivo: estabelecer um diálogo construtivo público-público e público-privado com um grande número de partes interessadas; garantir que as medidas em termos de políticas, sejam apropriadamente balanceadas e não criem obstáculos desnecessários ao uso de tecnologias digitais, com vistas à inovação e ao crescimento; criar as condições para o compartilhamento de informações relativas a riscos com as empresas; facilitar a promoção e disseminação de boas práticas na sociedade como um todo por meio da ação da sociedade civil; e garantir a proteção da privacidade e outros direitos humanos. O objetivo da organização e da simplificação da governança da segurança digital no Brasil, deve ser permitir que a segurança digital se desenvolva, ao mesmo tempo em que envolve todas as partes interessadas de uma maneira sustentável.
Recomendações de políticas: Uma opção poderia ser a de aproveitar e desenvolver as lições aprendidas com o Modelo Brasileiro de Governança da Internet (CGI), para criar um ambiente com múltiplos atores a fim de facilitar os debates e a coordenação. Além disso, o governo deveria incentivar o estabelecimento de uma estrutura de governança da segurança digital para o setor privado. O governo também deveria facilitar a criação de grupos a fim de reunir diretores de segurança da informação, e outros profissionais de segurança do Brasil inteiro, sem necessariamente tomar parte nas discussões realizadas entre eles. Esses grupos então se tornariam parceiros de discussão do governo, facilitando, dessa maneira, a troca de informações a respeito de ameaças, vulnerabilidades, incidentes e medidas de gestão de riscos, relativas à segurança digital nos setores público e privado.
Quadro 4.3. Recomendações de políticas de segurança digital no Brasil
Para aumentar a segurança digital, o Brasil deve tomar medidas nas seguintes áreas:
Implementação da Estratégia Nacional de Segurança Cibernética: Basear-se nos esforços envidados por múltiplos atores, e ampliá-los em prol do desenvolvimento da Estratégia Nacional de Segurança Cibernética, a fim de criar uma agenda para a sua implementação.
Educação e aumento da conscientização: Identificar lacunas de conscientização, conhecimentos e segurança digital, entre empresas, governo e indivíduos, e desenvolver um plano de ação para reforçar o treinamento e a educação em segurança digital em todos os níveis.
Recursos: Alocar um volume significativamente maior de recursos para a segurança digital, a fim de garantir a implementação apropriada da Estratégia Nacional de Segurança Cibernética, abrangendo todos os aspectos em vez de só o aspecto tecnológico.
Governança: Adotar uma abordagem coordenada descentralizada, na qual diferentes ministérios e órgãos exerceriam a liderança em suas áreas de competência, com o GSI/PR na função de coordenação; e treinar especialistas na política de segurança digital a fim de superar a atual falta de especialistas em cada ministério e órgão.
Diálogo com múltiplos atores: Basear-se nas lições aprendidas com o Modelo Brasileiro de Governança da Internet, para criar um ambiente com múltiplos atores, a fim de facilitar os debates e a coordenação; incentivar o estabelecimento de uma estrutura de governança da segurança digital para o setor privado; facilitar a criação de grupos que reúnam diretores de segurança da informação e outros profissionais de segurança.
Desenvolvendo a confiança mediante o aumento da privacidade
Em 14 de agosto de 2018, o Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) (Lei 13.709). Essa lei constitui a principal parte do marco legal brasileiro em relação à coleta, ao armazenamento e ao uso de dados pessoais. Inicialmente desenvolvida pelo Ministério da Justiça, a LGPD foi submetida a uma ampla consulta pública, envolvendo um grande número de partes interessadas da sociedade civil, da academia e da comunidade empresarial ao longo de sete anos. Consultas também foram feitas no âmbito governamental, envolvendo diferentes ministérios e organizações públicas. Audiências preliminares e consultas nacionais sobre o Projeto de Lei, também foram objeto de discussões no Senado e na Câmara dos Deputados.
A LGPD originalmente passaria a vigorar a partir de fevereiro de 2020. No entanto, em decorrência da Medida Provisória 869 de 27 de dezembro de 2018, que foi transformada na Lei Ordinária 18.583 em 8 de julho de 2019, o prazo foi prorrogado para agosto de 2020. Em 3 de abril de 2020, o Senado Brasileiro aprovou um Projeto de Lei (PL 1179/2020) com diversas medidas emergenciais relativas à pandemia da Covid-19. O PL inclui uma regra específica que prorroga a entrada em vigor da LGPD para janeiro de 2021.
A próxima seção examina o marco legal com algum pormenor, e como as organizações (nos setores público e privado) estão se preparando para a sua implementação. Ela também avalia como a nova lei e as estruturas de governança de dados existentes, dispõem sobre a transferência de dados a outros países.
Panorama da Lei Geral de Proteção de Dados do Brasil
Antes da publicação da LGPD, a abordagem do Brasil quanto à privacidade e à proteção de dados era, ora específica por setor, ora ampla demais. A privacidade e a proteção de dados eram governadas por diferentes leis que cobriam, por exemplo, serviços financeiros, segurança, telecomunicações e proteção dos consumidores. Ao mesmo tempo, a Constituição Brasileira prevê um nível geral de proteção. A aplicação das leis era deixada a critério das autoridades e dos órgãos reguladores nacionais e locais.
A LGPD foi redigida com a finalidade de aumentar a consistência e a uniformidade da legislação sobre privacidade e proteção de dados, e para criar consistência e uniformidade na maneira em que os indivíduos podem exercer seus direitos de privacidade em todo o território brasileiro. A lei se baseia, em grande medida, no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e nas Diretrizes da OCDE para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais (doravante denominada “Diretrizes de Privacidade da OCDE”, de 1980, alterada em 11 de julho de 2013) (OCDE, 2013), e na Convenção 108 do Conselho da Europa.
A LGPD adota uma visão ampla sobre quais dados se qualificam como dados pessoais, sendo ainda mais abrangente do que o RGPD e as Diretrizes de Privacidade da OCDE. Por exemplo, a lei brasileira inclui uma disposição específica (Artigo 12, Parágrafo 2) pela qual dados anônimos podem estar incluídos no escopo da lei, se forem usados para avaliar certos aspectos de uma pessoa natural e criar perfis comportamentais (p.ex., metodologias de discriminação de preços).
É digno de nota que a LGPD abrange a coleta, e o processamento de dados pessoais e informações, tanto do setor público quanto do privado. O processamento de dados pessoais tem de ser conduzido em boa fé e em conformidade com os princípios listados abaixo, que são consistentes com os princípios das Diretrizes de Privacidade da OCDE:
finalidade
adequação
necessidade
livre acesso
qualidade dos dados
transparência
segurança
prevenção
não discriminação
responsabilização e prestação de contas.
Além disso, a LGPD não se preocupa apenas em dar uma ampla definição sobre o que é consentimento, mas também com o empoderamento dos titulares dos dados, a fim de que tenham controle e escolha consideráveis sobre suas informações pessoais. A LGPD lista nove direitos fundamentais dos titulares de dados, que são essencialmente os mesmos direitos previstos no RGPD. Ainda outra similaridade com o RGPD, é que a LGPD se aplica a qualquer empresa ou organização que processe os dados pessoais de indivíduos no Brasil, não importando a localização geográfica dessa empresa ou organização.
Enquanto o RGPD inclui seis bases legais para o processamento de dados pessoais, o Artigo 7 da LGPD brasileira lista dez (Quadro 4.4). Há, por essa razão, mais autorizações legais para o processamento de dados, tornando possível interpretar, ao menos em teoria, que a LGPD é mais flexível e menos restritiva que o RGPD no que diz respeito ao processamento de dados pessoais.
Quadro 4.4. Base legal da Lei Geral de Proteção de Dados do Brasil
1. Mediante o fornecimento de consentimento pelo do titular dos dados.
2. Para o cumprimento de obrigação legal ou regulatória pelo controlador.
3. Para a execução de políticas públicas previstas em leis e regulamentos, que sejam respaldadas em contratos ou convênios.
4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
5. Para executar um contrato ou procedimentos preliminares relacionados a um contrato do qual seja parte o titular, a pedido do titular dos dados.
6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
7. Para a proteção da vida ou da incolumidade física do titular ou de terceiro.
8. Para a tutela da saúde.
9. Para atender ao interesse legítimo do controlador ou de terceiro.
10. Para a proteção do crédito (referindo-se ao score de crédito).
Portabilidade de dados
Um dos novos direitos dos titulares de dados na RGDP é o direito à portabilidade, que também foi incluído na lei brasileira. Esse direito exige que o controlador transfira, mediante solicitação do titular dos dados, os dados pessoais do titular a outros controladores. Na lei brasileira, esse direito não se limita aos dados fornecidos com base no consentimento do titular dos dados, estabelecendo uma diferença em relação ao RGPD.
O direito à portabilidade dos dados não é um direito novo na estrutura jurídica do Brasil. A portabilidade também está presente em outras instâncias da lei brasileira. No setor de serviços de telecomunicações, por exemplo, esse direito está regulamentado pela Resolução 460/07,26 mais conhecida como Regulamento Geral de Portabilidade, da Anatel. De acordo com essa resolução, os usuários de serviços de telecomunicações têm o direito de pedir a portabilidade de seus contratos (e, com isso, de seus dados pessoais), relativos a linhas telefônicas fixas e móveis de provedores de serviço de telecomunicações de interesse coletivo.
A LGPD incluiu o direito à portabilidade de dados do Artigo 20 do RGPD, que define que o titular dos dados pode exercer esse direito mediante uma solicitação expressa ao provedor de mercadorias ou serviços, segundo regulamentos adicionais a serem emitidos pela ANPD. Mas há grandes diferenças. Uma delas é que o RGPD estabelece um limite importante, que exige o consentimento específico do titular dos dados, ou que a solicitação da portabilidade seja baseada em uma relação contratual existente, para que se possa requerer esse direito de um controlador de dados e com a condição de que tal ação seja tecnicamente possível. Além disso, o RGPD estabelece uma exceção ao exercício desse direito, quando o processamento de dados pessoais é necessário para a execução de uma tarefa de interesse público, ou no exercício da autoridade oficial conferida ao controlador.
Autoridade Nacional de Proteção de Dados
A Medida Provisória 86927 de 27 de dezembro de 2018 estabeleceu regras para a coordenação no âmbito do governo, determinando a criação de um fórum de comunicação permanente de cooperação técnica entre órgãos governamentais responsáveis pela regulação setorial. De acordo com a Medida Provisória, a Autoridade Nacional de Proteção de Dados (ANPD) é considerada o órgão governamental central da administração pública responsável pela interpretação da LGPD e pela aplicação das sanções previstas na lei.
A Medida Provisória 869 foi votada pelo Senado e pela Câmara dos Deputados, e convertida na Lei 13.853 de 8 de julho de 2019. Ela cria a ANPD, que é a encarregada da supervisão da LGPD. A ANPD é uma entidade da administração pública federal criada como parte da Presidência da República, com “autonomia técnica e decisória” garantida pela lei (Artigo 55-B). Ela é composta por seis entidades principais:
a) Conselho Diretor
b) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP)
c) Corregedoria
d) Ouvidoria
e) um órgão de apoio jurídico
f) unidades administrativas especializadas.
O Conselho Diretor será composto por cinco diretores, indicados pelo Presidente após aprovação do Senado. Até que a LGPD entre em vigor, o suporte técnico e administrativo será prestado pela Secretaria Executiva da Casa Civil da Presidência da República.
O CNPDP será composto por representantes de 23 organizações e órgãos dos setores público, privado e acadêmico. As principais atividades do órgão incluem propor orientações estratégicas e fornecer informações para a preparação da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para as atividades da ANPD, além de preparar relatórios anuais de avaliação da implementação das ações das políticas nacionais para a proteção da privacidade e dos dados pessoais no Brasil.
O artigo 55-J concede um amplo leque de responsabilidades à ANPD que varia desde a administração de reclamações, o cumprimento da lei e a aplicação de sanções, até a produção de materiais e diretrizes educacionais. As principais competências e poderes regulatórios da ANPD no âmbito da LGPD estão listadas no Quadro 4.5.
Quadro 4.5. Competências da Autoridade Nacional de Proteção de Dados do Brasil
1. Garantir a proteção de dados pessoais nos termos da legislação.
2. Elaborar diretrizes para a Política Nacional de Proteção de Proteção de Dados Pessoais e da Privacidade.
3. Supervisionar e aplicar sanções em caso de processamento de dados em descumprimento à legislação.
4. Promover entre a população o conhecimento de normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança.
5. Estimular a adoção de padrões de serviços e produtos que facilitem o exercício do controle dos titulares de dados sobre seus dados pessoais.
6. Promover a cooperação internacional com autoridades de proteção de dados pessoais de outros países.
7. Preparar relatórios anuais sobre suas atividades.
8. Alterar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como conduzir avaliações de impacto sobre a proteção de dados pessoais, nos casos em que o processamento representar um alto risco à garantia dos princípios gerais de proteção de dados pessoais.
9. Realizar auditorias, ou determinar a sua realização, no âmbito da atividade de fiscalização.
10. Promulgar normas, diretrizes e procedimentos simplificados e diferenciados, inclusive em relação aos prazos, para que as micro e pequenas empresas, bem como as iniciativas empresariais incrementais ou disruptivas, que se autodeclararem startups ou empresas inovadoras, possam adequar-se a esta lei.
11. Comunicar às autoridades competentes quaisquer infrações penais de que tomem conhecimento.
12. Implementar mecanismos simplificados, meios eletrônicos incluídos, para registrar reclamações sobre o processamento de dados pessoais em violação à lei.
13. Manter um fórum permanente para a comunicação, inclusive por meio de cooperação técnica, com entidades da administração pública, responsáveis por regular setores específicos da atividade econômica e governamental, a fim de facilitar os poderes regulatórios de supervisão e de punição da Autoridade Nacional de Proteção de Dados.
Vale a pena destacar que o poder executivo vetou certas seções da LGPD. Especificamente, a Lei 13.853 de 8 de julho de 2019, que cria a ANPD, contém um total de nove vetos, em sua maioria relacionados às sanções administrativas que tratam do processamento de informações pessoais a serem impostas pela ANPD.
Além das competências acima, os Artigos 55-J, VI e 58-B, e V da LGPD (na redação da Lei 1.853 de 8 de julho de 2019), atribuem à ANPD e ao CNPDP, a responsabilidade pela disseminação de conhecimentos sobre políticas, e normas em torno da proteção de dados pessoais e da privacidade na sociedade.
Outras entidades têm tradicionalmente contribuído para a educação e a conscientização sobre privacidade e proteção de dados. Especialmente o Sistema Nacional de Defesa do Consumidor (SNDC), que reúne entidades como os programas de proteção e defesa do consumidor (Procons), o Ministério Público, a Defensoria Pública, as delegacias de polícia especializadas (Decons) e organizações civis de proteção dos direitos do consumidor, incluindo o direito à privacidade e à proteção de dados.
O Instituto Brasileiro de Defesa do Consumidor, (IDEC)28 também realizou atividades de educação para os consumidores sobre direitos de privacidade e a proteção de seus dados pessoais. O website do IDEC contém uma seção com notícias referentes ao escopo da LGPD para os consumidores nacionais e elaborou um anti-mapa de privacidade,29 que busca ajudar os consumidores a protegerem suas informações pessoais e a não serem rastreados na Internet, nos termos da LGPD.
Outro aspecto relevante da ANPD que deveria ser considerado, nos termos do Artigo 55-B da Lei 13.853, é a sua “autonomia técnica e decisória” em relação a outras entidades do executivo, em especial do Conselho Diretor, que será composto por cinco membros, incluindo um presidente (cada um com mandato inicial de quatro anos), em regime de rodízio escalonado.
Deve-se observar que estruturas administrativas e legais que deixam aberta uma possibilidade, ainda que pequena, de uma autoridade responsável pela aplicação das leis de privacidade, ser instruída por outro órgão administrativo quanto ao modo de exercer suas funções, não satisfazem o critério de independência. A independência pode não ser plenamente alcançada, nos termos do Artigo 55-A da Lei 13.853, se a ANPD: for um órgão de administração pública federal; for integrante da Presidência da República; tiver natureza jurídica transitória; “for transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República”; não tiver verba garantida na lei orçamentária anual.
O questionário de 2019 da OCDE para autoridades responsáveis pela aplicação das leis de privacidade (Privacy Enforcement Authorities, PEAs), coletou informações sobre as fontes de receitas das autoridades participantes e sua composição. Vinte das 28 PEAs dos países participantes (exceto a dos Estados Unidos), eram inteiramente subsidiadas pelo governo. Os demais países que informaram dispor de fundos mistos, explicaram que as outras fontes são serviços cobrados, taxas de licenciamento ou registros, multas e penalidades. As PEAs necessitam de investimento financeiro considerável por parte dos governos. Em 2019, por exemplo, a PEA australiana foi subsidiada pelo governo com AUD 15.85 milhões. A PEA canadense recebeu CAD 29.47 milhões e a PEA irlandesa, EUR 15.2 milhões. O Comissariado da Informação do Reino Unido (ICO, em inglês) é financiado basicamente por organizações que pagam as taxas relativas à proteção de dados, o que corresponde a cerca de 85-90% do orçamento anual do ICO. De 1º de abril de 2019 a 31 de março de 2020, o ICO prevê a arrecadação de cerca de GBP 46.6 bilhões, decorrentes de taxas de proteção de dados. Em 2018/19, o ICO arrecadou GBP 39.3 bilhões em receitas provenientes do pagamento de taxas (ICO, 2020).
As alterações feitas na LGPD, a fim de criar a ANPD, diferem do restante do estatuto. Elas eram legalmente exequíveis desde a promulgação da Lei 13.853 de 8 de julho de 2019, significando que a LGPD já é válida no que diz respeito à constituição e ao funcionamento da ANPD, independentemente do período de vacatio legis de suas partes substanciais.
No entanto, para que a ANPD possa realmente existir, o governo federal deve agir para criá-la fisicamente, por meio de um decreto e regulamentos adicionais, nomeando seus diretores e estabelecendo sua composição e seu funcionamento. Em março de 2020, isso ainda não tinha acontecido. A situação de emergência deflagrada pela Covid-19 só aumenta a incerteza quanto a essa situação, uma vez que propostas para prorrogar a entrada em vigor da LGPD estão sendo consideradas pelo Congresso.
Medidas técnicas para a proteção de dados
O Artigo 46 da LGPD estabelece que os agentes de tratamento, devem adotar medidas de segurança técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, ou qualquer forma de tratamento inadequado ou ilícito. A ANPD pode estabelecer padrões técnicos mínimos em relação a essas medidas, que devem ser cumpridas desde a fase de concepção do produto ou serviço, até a sua execução.
Da mesma forma, o Artigo 13 do Decreto 8.77130 de 11 de maio de 2016 que regulamenta a Lei 12.965 de 23 de abril de 2014 (Marco Civil da Internet), prevê que os provedores de serviços de conexão e aplicativos, devem observar as diretrizes sobre os padrões de segurança na custódia, armazenamento e processamento de dados pessoais e comunicações privadas. Dentre as obrigações determinadas pelas diretrizes estão: o estabelecimento de controle estrito sobre o acesso aos dados, mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso, e de privilégios de acesso exclusivo para determinados usuários; a previsão de mecanismos de autenticação do acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros; a criação de um inventário detalhado dos acessos aos registros de conexão e de acesso a aplicativos, e o uso de soluções de gestão dos registros, por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
Notificação de violação de dados pessoais
A notificação de violações de dados pessoais é um direito novo no Brasil, e foi amplamente importado dos Artigos 33 e 34 do RGPD, embora apresente algumas diferenças importantes.
O Artigo 48 da LGPD estabelece que o controlador deverá informar tanto à autoridade nacional como ao titular, a ocorrência de incidentes de segurança que possam acarretar risco ou dano importante aos titulares. A comunicação será feita em prazo razoável e mediante a observância dos seguintes requisitos:
a) Descrição da natureza dos dados pessoais afetados.
b) Informação sobre os titulares envolvidos.
c) Indicação das medidas técnicas e de segurança utilizadas na proteção dos dados, observados os segredos comercial e industrial.
d) Riscos relacionados ao incidente.
e) Motivos da demora, no caso de a comunicação não ter sido imediata.
f) Medidas que foram ou serão adotadas, para reverter ou mitigar os efeitos do prejuízo. Após a comunicação, a autoridade nacional avaliará a gravidade do incidente e adotará as medidas cabíveis.
Nos casos em que o RGPD estabelece que a notificação de acidentes de segurança deve ser encaminhada à autoridade de supervisão e aos titulares dos dados envolvidos sem demora indevida, e mais especificamente no prazo de 72 horas quando a violação dos dados representar um risco aos direitos e liberdades de indivíduos, a LGPD estabelece somente que a comunicação deve ocorrer em “prazo razoável”, uma diferença importante que talvez merecesse esclarecimentos adicionais na regulamentação da lei no futuro.
Embora a ANPD comece a funcionar oficialmente em agosto de 2020, atualmente, há uma Unidade Especial de Proteção de Dados e Inteligência Artificial no âmbito do Estado, que já está monitorando os direitos dos titulares de dados, e conduzindo investigações de incidentes envolvendo violações de dados pessoais e informações. A unidade integra o Ministério Público do Distrito Federal e Territórios, e tratou diversos casos relacionados à proteção de dados pessoais, além de criar um mecanismo para relatar violações de dados e incidentes de segurança.
Da mesma maneira, o Brasil também conta com o CERT.br e o CTIR.gov para tratar incidentes de segurança cibernética. O CERT.br é responsável pela coordenação das entidades brasileiras de resposta a incidentes de segurança. O CERT.br integra o NIC.br e atua em uma base com várias partes interessadas (cooperação pública/privada). O CTIR.br é um órgão governamental, e integra o GSI/PR. O CERT.br compila e mantém estatísticas anuais sobre relatos de incidentes.
Programas de gestão da privacidade
O princípio da responsabilidade é um dos oito princípios básicos originais das Diretrizes de Privacidade da OCDE. A Revisão de 2013 das Diretrizes de Privacidade incluiu uma nova parte – “Implementando a responsabilidade” – que reuniu os elementos necessários de controladores de dados, a fim de implementar o princípio da responsabilidade, introduzindo especialmente o conceito de “programas de gestão da privacidade” (privacy management programmes, PMPs, em inglês). No âmbito das diretrizes revisadas, os PMPs são o veículo operacional primário, por meio do qual se espera que uma organização viabilize a aplicação dos princípios básicos contidos na Parte II das diretrizes. De maneira específica, a seção adicionada prevê que um controlador de dados, leve a efeito as diretrizes em relação a todos os dados pessoais sob seu controle, mediante a implementação de um PMP que seja adaptado à estrutura, escala, volume e sensibilidade de suas operações, e que preveja salvaguardas apropriadas tendo como base a avaliação de riscos, incluindo planos de resposta a averiguações e incidentes. Além disso, o controlador de dados deve estar preparado para demonstrar o seu PMP e notificar, conforme apropriado, as autoridades e os titulares de dados sempre que tiver havido uma violação significativa afetando dados pessoais.
A LGPD inclui uma seção específica sobre a responsabilidade que se aplica a infrações da lei, resultantes do tratamento de dados pessoais por órgãos públicos e autoridades nacionais. O Artigo 31 permite que autoridades nacionais enviem relatórios a órgãos públicos, junto com as medidas cabíveis para fazer cessar a violação, enquanto o Artigo 32 confere à autoridade nacional o poder de solicitar a agentes do Poder Público, a publicação de relatórios de impacto à proteção de dados pessoais, e sugerir a adoção de padrões e de boas práticas para o tratamento de dados pessoais.
O Artigo 50 da Seção 2 (I) da LGPD parcialmente prevê a implementação de um programa de governança para a privacidade, e a operação de procedimentos que podem incluir reclamações e petições de titulares de dados, normas de segurança, padrões técnicos e outras obrigações específicas, para os diversos envolvidos no tratamento de informações pessoais, atividades educacionais, mecanismos internos de supervisão e mitigação de riscos, além de outros aspectos relacionados ao tratamento de dados pessoais.
Além disso, no Artigo 50, Parágrafo 2, Seção I, controladores de dados são incentivados a implementar programas de governança em privacidade que, no mínimo: demonstrem o comprometimento do controlador em adotar processos e políticas internas que assegurem o seu cumprimento de forma abrangente; sejam adaptados à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; estabeleçam políticas e salvaguardas adequadas, com base em processos de avaliação sistemática de impactos e riscos à privacidade; estejam integrados à sua estrutura geral de governança e estabeleçam e apliquem mecanismos de supervisão internos e externos; dentre outros requisitos.
Fluxos internacionais de dados
A transferência internacional de dados aumentou, e se tornou uma questão muito relevante para os legisladores, especialmente em virtude do uso de serviços de computação em nuvem e a expansão e o crescimento do big data em anos recentes. A LGPD dedica todo um capítulo à transferência internacional de dados (Artigos 33-36), o que reflete, em grande medida, a linguagem dos termos do Capítulo V sobre a transferência de dados pessoais a outros países ou a organizações internacionais do RGPD. A transferência internacional de dados pessoais no Brasil, só é permitida em certas condições, descritas em nove seções do Artigo 33 e listadas no Quadro 4.6.
Quadro 4.6. Condições para a transferência internacional de dados pessoais nos termos da Lei Geral de Proteção de Dados
A transferência internacional de dados pessoais só é permitida nos seguintes casos:
1. Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei.
2. Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e dos direitos do titular na forma de:
a. cláusulas contratuais específicas
b. cláusulas contratuais padrão
c. normas corporativas globais
d. selos, certificados e códigos de conduta emitidos.
3. Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional.
4. Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros.
5. Quando a autoridade nacional autorizar a transferência.
6. Quando a transferência ocorre por causa de compromisso assumido em acordo de cooperação internacional.
7. Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público.
8. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta finalidade de outras.
9. Quando a transferência for necessária para atender às hipóteses previstas no Artigo 7°, II, V e VI desta lei, ou seja, para cumprimento de uma obrigação legal ou regulatória; execução de um contrato ou procedimentos preliminares relacionados a um contrato no qual o titular é uma parte; e para exercer direitos em procedimentos judiciais, administrativos ou arbitrais.
Além disso, o Artigo 34 da LGPD estabelece que o nível de proteção de dados do país estrangeiro ou do organismo internacional deve ser avaliado pela autoridade nacional, levando em consideração seis circunstâncias especiais. O Artigo 35 estabelece que a verificação de todos os instrumentos jurídicos listados no Artigo 33 Seção II, será realizada pela autoridade nacional, e o Artigo 36 determina, que alterações nas garantias apresentadas ao cumprimento dos princípios gerais da proteção dos direitos do titular dos dados, deverão ser comunicadas à autoridade nacional.
A Comissão Europeia ainda não declarou que o Brasil é um país que proporciona um nível adequado de proteção aos dados pessoais nos termos do RGPD.
Da mesma forma, o Brasil, como observador, ainda não assinou nem ratificou a Convenção do Conselho da Europa para a Proteção das Pessoas Singulares, no que diz respeito ao Tratamento Automatizado de Dados Pessoais (Convenção 108), e seu Protocolo Adicional referente a autoridades supervisoras e fluxos de dados transfronteiriços, nem a versão modernizada da Convenção 108+ do Conselho da Europa.
Cooperação transfronteiriça para a proteção da privacidade
Em virtude da crescente demanda por produtos e serviços disponíveis na Internet e nas redes sociais, a cooperação no cumprimento das leis de proteção de dados, é um elemento importante e decisivo para ajudar a reforçar a confiança do consumidor. A Recomendação do Conselho da OCDE para a Aplicação de Leis de Proteção da Privacidade e Cooperação Transfronteiriça (OCDE, 2007) representa o compromisso que os países membros assumem de promover uma cooperação mais estreita entre as autoridades responsáveis pela aplicação das leis de privacidade, a fim de ajudá-las a trocar informações e conduzir investigações com contrapartes estrangeiras. A Seção IV das Diretrizes Revisadas de Privacidade da OCDE de 2013 destaca a importância da cooperação transfronteiriça no cumprimento das leis de privacidade, e facilitação de cooperação mútua entre autoridades responsáveis pela aplicação das leis de privacidade.
O Artigo 55-J (IX) da LGPD (na redação da Lei 13.853 de 8 de julho de 2019), atribui à ANPD a responsabilidade pela promoção da cooperação com autoridades internacionais e transnacionais, no que diz respeito à proteção de dados. Uma vez que a ANPD não foi formalmente estabelecida, no momento não há arranjos bilaterais ou multilaterais com outras autoridades ou países, para cooperar no cumprimento das leis de privacidade.
O Brasil ainda não integra a Rede Global para a Proteção da Privacidade31 (Global Privacy Enforcement Network, GPEN), ou redes internacionais similares, responsáveis pela aplicação de leis de privacidade e proteção de dados.
Estruturas de governança de dados
O acesso e o compartilhamento de dados são essenciais para a inovação na economia digital. Por exemplo, o acesso a dados pode melhorar a prestação de serviços públicos, e facilitar a identificação e o surgimento de desafios governamentais ou sociais.
Os marcos legais e as normas que regem o acesso e o compartilhamento de dados pessoais no Brasil no momento, consistem em um regime complexo de leis específicas por setor e um emaranhado de leis e regulamentos, incluindo leis estaduais e municipais que regem o acesso às informações e à proteção de dados em diferentes setores da economia.32 O que restaria esclarecer, seria se as leis anteriormente mencionadas deveriam coexistir por algum tempo, ou como elas deveriam ser substituídas quando a LGPD entrar em pleno vigor, a fim de evitar possíveis conflitos de competência, entre a ANPD e as autoridades e órgãos governamentais responsáveis pela aplicação das leis setoriais sobre proteção de dados. Por exemplo, no México, a Lei Federal sobre a Proteção de Dados Pessoais Mantidos por Entidades Privadas, incluía um artigo de transição, estabelecendo que “disposições do Estado sobre proteção de dados pessoais seriam revogadas e outros dispositivos que se opõem a essa lei seriam revogados” (Artigo 5). Embora muitas daquelas disposições não tenham sido de fato revogadas, e continuem escritas na lei, na prática, as referidas leis já não deveriam ser aplicáveis.
Quando entrar em vigor, a lei estabelecerá regras gerais que se aplicam a todos os setores da economia e também aos governos federal, estaduais e municipais. Assim, a menos que uma disposição preveja expressamente que a LGPD deve ter precedência sobre as leis estaduais e municipais, que regem o acesso à informação e a proteção de dados em diferentes setores da economia, um dos desafios da ANPD será garantir que o velho emaranhado de leis federais, que regem a proteção da informação e dados pessoais dos cidadãos, não conflitem com a LGPD. Esses esforços podem consistir na coordenação com os respectivos órgãos e instituições responsáveis pela fiscalização e cumprimento do antigo marco legal, incluindo a Secretaria Nacional do Consumidor (Senacon) e as entidades que são parte do Sistema Nacional de Defesa do Consumidor (SNDC), dentre outros órgãos de cumprimento da lei no âmbito estadual.
O Ministério da Justiça e da Segurança Pública, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC) da Senacon, anunciou em 30 de dezembro de 2019, que multou as empresas Facebook Inc. e Facebook On-line do Brasil Ltda em BRL 6.6 milhões. A multa resultou de uma investigação, seguida de relatos, de que os usuários do Facebook no Brasil, podem ter tido seus dados usados indevidamente pela consultoria de marketing político, Cambridge Analytica. Além disso, o Ministério da Justiça e da Segurança Pública explanou que, o Facebook é considerado um fornecedor nos termos do Artigo 2° do Código de Defesa do Consumidor, e observou que o Facebook não conseguiu fornecer informações apropriadas a seus usuários, no que respeitava às consequências de suas configurações de privacidade padrão, especialmente em relação aos dados de usuários, seus amigos e aqueles compartilhados com desenvolvedores de aplicativos.33
A comercialização de dados pessoais de cidadãos brasileiros tem sido uma preocupação nacional constante. O Ministério Público do Distrito Federal e Territórios (MPDFT) anunciou em 16 de janeiro de 2020 que tinha instaurado um inquérito civil contra a BaseUp, pela comercialização de dados pessoais de mais de 10 milhões de cidadãos brasileiros. O MPDFT destacou que a BaseUp operava uma base de dados, que incluía informações como nomes, endereços, códigos postais, e-mails e CPFs, que eram disponibilizados para venda em diferentes pacotes. O MPDFT solicitou ao Núcleo de Informação e Coordenação do Ponto BR (NIC.br), a derrubada do website, o cancelamento do domínio da BaseUp, e o fornecimento de informações, sobre a identidade do responsável pelo domínio no diretório do Whois.34 Quando da preparação deste relatório, o website (baseup.com.br) já tinha sido derrubado e não estava mais acessível.
No que diz respeito a iniciativas de políticas para melhorar o acesso aos dados, e o seu compartilhamento, a Lei 12.527 de 18 de novembro de 2011 (também conhecida como Lei da Transparência), rege o acesso a informações de entidades públicas que são parte da administração direta do Executivo e do Legislativo – incluindo os Tribunais de Contas, Judiciário e do Ministério Público. Essa lei estabelece as regras e procedimentos aplicáveis às referidas entidades para solicitações de acesso a informações.
Da mesma maneira, o Decreto 8.777 de 11 de maio de 2016, estabelece a Política de Dados Abertos do Poder Executivo Federal, que abrange nove objetivos fundamentais, conforme listados no Quadro 4.7.
Quadro 4.7. Principais objetivos da Política de Dados Abertos do Brasil
1. Promover a publicação de dados contidos em bases de dados de órgãos e entidades da administração pública federal direta, autárquica e fundacional, sob a forma de dados abertos.
2. Aprimorar a cultura de transparência pública.
3. Conceder aos cidadãos o acesso, de forma aberta, aos dados produzidos ou acumulados pelo Poder Executivo Federal.
4. Facilitar o intercâmbio de dados entre órgãos e entidades da administração pública federal e as diferentes esferas da federação.
5. Fomentar o controle social e o desenvolvimento de novas tecnologias destinadas à construção de um ambiente de gestão pública participativa e democrática, e à melhor oferta de serviços públicos para o cidadão.
6. Fomentar a pesquisa científica de base empírica sobre a gestão pública.
7. Promover o desenvolvimento tecnológico e a inovação nos setores público e privado e fomentar novos negócios.
8. Promover o compartilhamento de recursos de tecnologia da informação, de maneira a evitar a duplicidade de ações e o desperdício de recursos na disseminação de dados e informações.
9. Promover a oferta de serviços públicos digitais de forma integrada.
A gestão da Política de Dados Abertos do Poder Executivo Federal é coordenada pela Controladoria-Geral da União, por meio da Infraestrutura Nacional de Dados Abertos (INDA), nos termos do Decreto 9.903 de 8 de julho de 2019.
Além disso, o Brasil integra a Parceria para Governo Aberto (Open Government Partnership, OGP) e, conforme mencionado no website da OGP:
Atualmente, o Brasil está implementando 11 compromissos em seu plano de ação 2018-2020. Este plano de ação apresenta compromissos relacionados ao governo aberto local, dados abertos, ciência aberta, mudança climática e água, transparência legislativa e controle social quanto às políticas nutricionais.
Avanços recentes
Duas grandes empresas de processamento de dados (Serpro e Dataprev), que são parcialmente controladas pelo Governo Federal, foram incluídas em um grupo de empresas públicas a serem privatizadas. No entanto, ambas as empresas processam uma parte substancial de dados pessoais de interesse do Governo Federal e de outros órgãos públicos. Há, atualmente, um debate importante em torno da possibilidade de os titulares de dados perderem o controle sobre seus dados pessoais em decorrência da privatização, ou até que ponto esses dados poderiam ser acessados e usados para outros propósitos comerciais, uma vez que, as empresas terão acesso às informações nos contratos originais que foram feitos com as entidades públicas, incluindo dados pessoais. O Governo Federal deveria dedicar uma atenção maior à avaliação dos impactos à proteção de dados decorrentes da privatização.
A identificação dos eleitores em todas as eleições no Brasil é feita quase inteiramente por biometria (impressão digital). O órgão eleitoral, o Tribunal Superior Eleitoral (TSE), coletou tantas digitais que nas eleições de 2018, mais de 87 milhões de eleitores podiam ser identificados por biometria. A base biométrica do TSE é o centro da Identidade Civil Nacional (ICN), recurso criado pelo Decreto 9.278 de 5 de fevereiro de 2019 com a finalidade de servir de alicerce ao novo Documento Nacional de Identidade (DNI).
O país está na fase final de preparação da Estratégia Brasileira para Inteligência Artificial, que foi elaborada em um processo com várias partes interessadas e submetida a consulta pública (encerrada em fevereiro de 2020).
Há, no momento, três importantes Projetos de Lei no parlamento brasileiro que têm por objetivo regular a inteligência artificial (IA). Esses três Projetos de Lei, serão provavelmente consolidados em dois: o primeiro está sendo discutido no Senado Federal, e o outro na Câmara dos Deputados. Ambos propõem princípios a serem observados na implementação da IA e, especificamente, na preservação da intervenção e do controle humanos. Ambas as propostas vão até ao ponto de propor uma política nacional sobre IA, a qual, para algumas das condições e termos, não está totalmente alinhada com outro Projeto de Lei que está em processo de elaboração no Ministério da Ciência, Tecnologia, Inovações e Comunicações.
Conclusões e recomendações
O Brasil aprovou a Lei Geral de Proteção de Dados em 14 de agosto de 2019. A lei cria uma estrutura normativa que busca harmonizar e expandir o direito à proteção dos dados pessoais. Ela está amplamente alinhada com as Diretrizes de Privacidade da OCDE e do RGPD, embora persistam algumas diferenças importantes, notadamente em relação às estruturas de governança e supervisão.
Observa-se, em especial, que, nas disposições das Diretrizes de Privacidade de 2013, parte V (“Implementação Nacional”), a OCDE recomenda que os países membros estabeleçam e mantenham autoridades de aplicação das leis, com a governança, os recursos e a especialização técnica necessárias, para exercer seus poderes de maneira efetiva e tomar decisões “objetivas, imparciais e consistentes” [Parágrafo 19(c)]. Essa formulação, no contexto das diretrizes, diz respeito à necessidade de haver uma autoridade responsável pelo cumprimento da lei, que seja independente de instruções, vieses ou conflitos de interesse na aplicação das leis de proteção da privacidade.
A garantia da independência da ANPD, tem por finalidade assegurar a efetividade e a confiabilidade do monitoramento, e do cumprimento das disposições relativas à proteção de dados pessoais, sendo assim, ela deve ser interpretada à luz dessa finalidade. Ela foi estabelecida não para conceder qualquer status especial à autoridade em questão ou seus agentes, mas para reforçar a proteção aos indivíduos, e aos órgãos afetados por suas decisões. Por conseguinte, a ANPD deve agir de maneira objetiva e imparcial no exercício de suas funções. Para atender esse propósito, a ANPD precisa continuar livre de qualquer influência interna ou externa.
No entanto, a ANPD está, atualmente, fortemente vinculada ao executivo. De acordo com a lei e conforme especificado no Artigo 58-A Parágrafo 1 da Lei 13.853, os membros do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade também serão indicados pelo Presidente da República, não pelo Conselho Diretor. O parágrafo 2 do mesmo artigo menciona que cada um dos representantes do CNPDP (Executivo, Senado, Deputados, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet) será indicado pelas respectivas entidades responsáveis pela administração pública.
Além de supervisionar o cumprimento da LGPD, a ANPD terá como principal tarefa a coordenação de uma variedade de entidades diferentes, e deverá dialogar com o CNPDP e a Ouvidoria, além de outras entidades legais que provavelmente estarão espalhadas pelo país. Todas essas diferentes entidades, desempenham um papel importante no incentivo e na promoção de políticas sobre privacidade e proteção de dados. Embora seja essencialmente um órgão de apoio, as responsabilidades e tarefas específicas do CNPDP, não parecem claras ou suficientemente bem definidas de acordo com a lei.
Além disso, a LGPD não menciona especificamente como o Conselho Diretor vai implementar as decisões e recomendações dos órgãos mencionados, ou como as referidas entidades vão administrar as divergências que eventualmente surgirem.
O desenvolvimento de uma estratégia nacional de IA que seja coerente e bem coordenada, pode gerar políticas públicas novas e importantes, com impacto significativo sobre a economia e o panorama social do Brasil nos próximos anos. No entanto, a estratégia deverá ser concebida e implementada com cautela, levando em consideração a estrutura de políticas existentes e em cooperação com várias partes interessadas de diferentes setores no país. A estratégia deverá ser bem alinhada e complementar obrigações e direitos já consagrados na LGPD e em outras estruturas legais nacionais relevantes, além de levar em conta as considerações internacionais, que estão em andamento na esfera da privacidade e da proteção de dados.
Quadro 4.8. Recomendações de políticas para melhorar a privacidade e a proteção de dados
Para aprimorar a proteção dos dados e da privacidade, o Brasil deve:
Reavaliar e revisar as condições estabelecidas nos termos da Autoridade Nacional de Proteção de Dados (ANPD) no Artigo 55-A da Lei 13.709, a fim de garantir que a Autoridade opere com total independência desde o início de seu estabelecimento.
Garantir que as regras para a indicação do Conselho Diretor da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP), sejam transparentes, imparciais e baseadas em conhecimento técnico.
Esclarecer as responsabilidades e tarefas do CNPDP.
Estabelecer regras claras em relação à tomada de decisões no âmbito da ANPD, e à sua implementação pelo Conselho Diretor.
Garantir ou adequar um orçamento previsível para a ANPD, por meio de um processo transparente.
Alinhar a Estratégia Brasileira para Inteligência Artificial com a Lei Geral de Proteção de Dados, e outros marcos legais relevantes em cooperação com todos os atores.
Proteção para os consumidores digitais
No mundo inteiro, os consumidores hoje conseguem atender a uma parcela significativa de suas necessidades de mercadorias e serviços, por meio de canais de e-commerce, tanto nas economias desenvolvidas quando nas em desenvolvimento. E eles podem fazer isso a qualquer momento, de qualquer lugar e, em especial, entre fronteiras. Apesar dos muitos benefícios que o e-commerce global pode trazer aos consumidores, a complexidade do ambiente, o contínuo surgimento de novos modelos de negócios, e o envolvimento de uma infinidade de operadores econômicos, pode colocar os interesses desses consumidores em risco. A compreensão dos consumidores em relação aos seus direitos e obrigações na transformação digital, é muitas vezes posta à prova quando eles adquirem produtos de conteúdo digital como apps ou jogos, quando compram produtos por meio de dispositivos móveis, e quando as transações envolvem empresas localizadas em jurisdições estrangeiras.
A proteção dos consumidores digitais está no centro da Recomendação do Conselho sobre Proteção do Consumidor no E-Commerce (doravante “Recomendação sobre E-commerce”) (OCDE, 2016), cujos princípios fundamentais de maior destaque estão listados no Quadro 4.9.
Quadro 4.9. A Recomendação do Conselho sobre Proteção do Consumidor no E-commerce da OCDE: Princípios gerais selecionados para a proteção dos consumidores digitais
1. Práticas comerciais e publicitárias justas.
2. Informações apropriadas.
3. Processos eficazes de pagamento e confirmação das transações.
4. Segurança do produto em toda a cadeia de fornecimento do e-commerce.
5. Acesso significativo a mecanismos eficientes de resolução de conflitos.
6. Educação e conscientização do consumidor.
7. Poder das autoridades de investigar e adotar medidas no âmbito doméstico.
8. Capacidade das autoridades de se envolverem em políticas internacionais e cooperação, em matéria de aplicação das leis.
Fonte: OCDE (2016), Consumer Protection in E-commerce: OECD Recommendation, https://doi.org/10.1787/9789264255258-en.
A Recomendação sobre E-Commerce foi revisada em 2016 para incluir algumas novas questões que estão surgindo no comércio eletrônico, e que afetam os consumidores na transformação digital. Incluem-se nelas:
a crescente adoção pelo consumidor, e o uso de produtos complexos de conteúdo digital intangível, além da necessidade relacionada de os consumidores obterem informações claras, oportunas e conspícuas sobre as limitações, funcionalidades e interoperabilidade de tais produtos
comportamento dinâmico e mais ativo por parte dos consumidores
uso crescente de dispositivos móveis pelos consumidores
aumento dos riscos associados a pagamentos feitos on-line, por meio de dispositivos móveis, e produtos não seguros.
A Recomendação sobre E-Commerce, também destaca a necessidade de aprovisionar uma reparação aos consumidores envolvidos em transações “gratuitas”, que são concluídas em troca dos dados do consumidor, e abordar os riscos de privacidade e segurança dos serviços de e-commerce, incluindo métodos de pagamento.
As tendências do e-commerce no Brasil
Crescimento do e-commerce doméstico e transfronteiriço
Segundo dados da Sociedade Brasileira de Varejo e Consumo, as vendas do e-commerce business to consumer (B2C) são relativamente baixas no Brasil, respondendo por 3%35 do total de vendas no varejo (export.gov, 2019; Conselho Administrativo de Defesa Econômica do Brasil, 2018). Ainda assim, as vendas do e-commerce no Brasil cresceram à uma taxa anual de 16% em 2019, superando em muito o crescimento da economia como um todo (Ebit Nielsen, 2020).
No entanto, o mercado de e-commerce no Brasil aparenta oferecer oportunidades extraordinárias para varejistas on-line locais, regionais e globais. Segundo a Euromonitor International, o Brasil gera cerca de 42% de todo o e-commerce B2C na América Latina. Estima-se que, em 2017, 52.8 milhões de pessoas tenham feito compras on-line no país, representando um aumento de 11% na comparação com 2016 (Société Générale, 2019). Um estudo recente conduzido pela PwC, mostrou que 53% dos brasileiros usam seus smartphones para pesquisar produtos, e 32% pagam suas compras on-line (export.gov, 2019). O crescente interesse dos consumidores em adquirar e adotar dispositivos móveis para pesquisar e comparar produtos on-line, incluindo redes sociais, deve aumentar ainda mais as transações de e-commerce.
No que se refere ao e-commerce transfronteiriço, os dados disponíveis mostram que 23% dos consumidores brasileiros compram em websites dos Estados Unidos, em comparação com 9% dos consumidores europeus. A metade da população brasileira (cerca de 100 milhões de pessoas), já comprou através de websites internacionais ao menos uma vez. Entre os que são muito populares, há websites chineses e outros, incluindo AliExpress (45% dos consumidores), Amazon.com (40%), eBay (26%), DealExtreme (12%) e Apple Store (10%) (Société Générale, 2019).
Reclamações dos consumidores
O site Consumidor.gov.br36 e o Sistema Nacional de Informações de Defesa do Consumidor (SINDEC)37 são duas bases de dados importantes mantidas pela Senacon,38 que contêm dados de reclamações de consumidores acerca de transações de e-commerce. Conforme será explicado mais adiante neste relatório, enquanto o Consumidor.gov.br serve como sistema de resolução de conflitos, o SINDEC39 fornece informações a todos as partes interessadas, sobre as empresas que mais foram alvo de reclamações de consumidores.
Como mostrado nas Figuras 4.6 e 4.7, desde 2017, as duas plataformas têm recebido relatos dos consumidores sobre um número crescente de problemas relacionados ao e-commerce. O número mais alto de reclamações dos consumidores, se refere a produtos que não foram entregues ou foram entregues com atraso. Alguns consumidores também tiveram diversas dificuldades durante o processamento de transações, problemas tais como confirmação de pagamentos, cancelamento de transações, além de dificuldades para se comunicar com determinadas empresas.
Conforme mostrado nas Figuras 4.8 e 4.9, a compra de telefones celulares foi responsável pelo maior número de reclamações de consumidores de 2017 a 2019 nas duas plataformas. Os consumidores também encontraram problemas em uma vasta gama de produtos, incluindo móveis, dispositivos eletrônicos, roupas e serviços de Internet e de viagem. A Figura 4.10 mostra que alguns consumidores tiveram problemas com varejistas e marketplaces.
No que se refere a transações transfronteiriças, os consumidores também relataram questões associadas a prazos de entrega muito longos (44% dos consumidores que compraram no exterior) e falta de segurança (31%) (PagBrasil, 2018). No entanto, deve-se observar que nem o Consumidor.gov.br nem o SINDEC, dispõem de uma categoria de questões específicas envolvendo transações transfronteiriças e, por esse motivo, as informações disponíveis nas bases de dados envolvendo reclamações de consumidores, não ajudam a entender o percentual de consumidores brasileiros que enfrentam problemas nas transações transfronteiriças.
Marco de políticas no e-commerce
Nas últimas duas décadas, muito foi feito no Brasil para fortalecer a confiança do consumidor no e-commerce. Embora a maioria dos direitos gerais de proteção ao consumidor esteja consagrada no Código de Defesa do Consumidor (CDC), adotado em setembro de 1990, nos últimos anos, vários desenvolvimentos legislativos foram implementados, a fim de fortalecer o engajamento dos consumidores digitais e sua proteção.
O Artigo 6 do CDC prevê que os consumidores recebam informações adequadas e claras das empresas, tanto sobre os produtos e serviços oferecidos, como sobre as transações. Eles devem se beneficiar de proteções sólidas contra práticas enganosas e fraudulentas, inclusive na área de publicidade on-line. Os consumidores devem ter acesso a mecanismos efetivos de resolução de conflitos, incluindo os de cunho judicial e administrativo, e devem receber a reparação adequada em caso de prejuízos de ordem financeira ou não financeira.
O CDC foi complementado pelo Decreto 7.762 de 15 de março de 2013, cobrindo especificamente o e-commerce. O decreto identifica as principais informações que devem ser fornecidas aos consumidores que usam o e-commerce, e reforça o direito de arrependimento de sete dias.
A proteção aos consumidores on-line foi adicionalmente reforçada por meio da adoção, em 2014, do Marco Civil da Internet,40 que prevê os princípios, garantias, direitos e deveres dos usuários da Internet no Brasil, além de estabelecer as diretrizes de atuação da união, dos estados, do Distrito Federal e dos municípios brasileiros. Mais especificamente, a lei regula o uso da Internet nas seguintes áreas: liberdade de expressão; privacidade e proteção de dados pessoais; neutralidade da rede; preservação da estabilidade, segurança e funcionalidade da Internet; responsabilidade dos agentes; preservação da natureza participativa da Internet. O artigo 7° estabelece que o acesso à Internet é essencial ao exercício da cidadania, e a subseção XIII estipula que os cidadãos têm o direito à aplicação correta das normas de proteção e defesa do consumidor, nas relações de consumo realizadas pela Internet.
Com a entrada em vigor da Lei 13.543/2017 em 20 de dezembro de 2017, as normas relativas à publicidade de produtos on-line e serviços vendidos por e-commerce, também foram reforçadas. A nova lei, que altera a Lei 10.962/2004, que regula a afixação de preços para produtos e serviços de consumo, introduz novas exigências para as empresas, que devem fornecer informações claras e evidentes sobre os preços do produto e exibir a imagem do produto ou a descrição do serviço.
Na área de segurança de produtos de consumo, que é o tema do Capítulo IV do CDC, o Brasil publicou duas novas Portarias em 2019 sobre o recall de produtos (Portaria 618/2019 sobre regras gerais, e Portaria Conjunta 3/2019 sobre o recall de veículos). Essa legislação atualizada regula o procedimento de recall para todos os produtos no Brasil, independentemente do meio ou canal usado pelos consumidores para adquirir o produto que possa vir a ser objeto de recall. Sob este marco regulatório, o fornecedor que descobre a natureza insegura de um produto introduzido no mercado deve, imediatamente, informar as autoridades e alertar os consumidores a respeito.
Supervisão institucional
A Recomendação sobre E-commerce destaca a necessidade de as autoridades terem:
o poder de investigar e tomar medidas para proteger os consumidores contra práticas comerciais fraudulentas, enganosas ou desleais e os recursos e especialização técnica para exercer seus poderes de maneira efetiva
a habilidade de cooperar e coordenar suas atividades de investigação e aplicação da lei com suas contrapartes nas jurisdições estrangeiras.
Autoridades com poder de ação no mercado doméstico
A principal autoridade de defesa do consumidor no Brasil é a Senacon, vinculada ao Ministério da Justiça e da Segurança Pública. Criada em 2012, a Senacon sucedeu ao DPDC, que tinha sido estabelecido pelo CDC em 1990.
Os principais poderes e atribuições da Senacon estão dispostos no Artigo 106 do CDC e no Artigo 3 do Decreto 2.181 de 20 de março de 1997,41 que regula o SNDC. A Senacon supervisiona o desenvolvimento, a implementação e a aplicação das leis de defesa do consumidor, inclusive por meio da coordenação com o SNDC. A Senacon também mantém o site Consumidor.gov.br, serviço público livre e fora dos tribunais, que pode ser usado pelos consumidores e pelas empresas, para resolver conflitos resultantes de transações on-line. Além disso, a Senacon tem o poder de estabelecer cooperações internacionais com autoridades de outros países. Ela o faz sobretudo, por intermédio do Grupo Informal de Peritos em Defesa do Consumidor da Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD), do Mercado Comum do Sul (Mercosul), do Foro Ibero-americano das Agências Governamentais de Proteção ao Consumidor (FIAGC) e da Organização dos Estados Americanos (OEA).
O SNDC abrange algumas entidades públicas federais, estaduais e locais como os órgãos de defesa do consumidor (Procons), o Ministério Público, a Defensoria Pública, as delegacias de polícia especializadas (Decons), além de entidades privadas e organizações civis, que promovem programas e assistência na proteção dos direitos dos consumidores. Os Procons são responsáveis pela coordenação de suas próprias políticas, locais ou estaduais, de defesa do consumidor. Além disso, os Procons dão suporte aos consumidores e investigam os problemas enfrentados por eles, funções que a Senacon não exerce. O principal objetivo da Senacon é coordenar o funcionamento do SNDC para promover políticas nacionais harmonizadas, no que diz respeito a relações de consumo.
As entidades ligadas ao SNDC contribuem para a tarefa geral da Senacon, de criar e promover políticas relativas à proteção dos consumidores, inclusive no contexto do comércio eletrônico. Alguns dos programas promovidos pela Senacon são: a Escola Nacional de Defesa do Consumidor, o programa Política Nacional do Consumidor, o Sistema Nacional de Informações para a Defesa do Consumidor (SINDEC) e o Plano Nacional de Consumo e Cidadania (Plandec).
Em anos recentes, a Senacon explorou maneiras de melhorar a eficácia do modelo institucional brasileiro. A secretaria sinalizou, em especial, que necessitaria de mais recursos humanos e financeiros, para participar em cooperações internacionais.
A Senacon atualmente possui um quadro de 90 funcionários, 30 dos quais são especialistas técnicos, e dispõe de um orçamento anual direto de USD 950 000. Em 2018, a OCDE realizou um estudo sobre cooperação transfronteiriça quanto à aplicação das leis, que contou com a participação de 31 países. De acordo com esse estudo, os órgãos de consumo empregam em média (apesar de haver grandes variações entre os países), 369 pessoas e dispõem de um orçamento de USD 33 milhões (OCDE, 2018).
A necessidade de recursos para ajudar na implementação da estrutura de defesa do consumidor no Brasil pode aumentar, na medida em que o país introduz novas medidas de proteção aos dados dos consumidores. Em 14 de agosto de 2018, o Brasil aprovou uma nova Lei Geral de Proteção de Dados (Lei 13.709) e está atuando no sentido de estabelecer uma Autoridade Nacional de Proteção de Dados (ANPD). A Senacon deverá atuar em cooperação com a ANPD em questões relacionadas aos dados dos consumidores. Além disso, em seguida à adoção do Decreto 10.197 em 2020, o site Consumidor.gov.br se tornou a plataforma governamental oficial para resoluções de disputas relativas ao consumo. Em virtude dessa mudança, questões relacionadas à proteção de dados de consumidores pertencem agora ao escopo da plataforma, e reclamações de consumidores relativas à proteção de seus dados são da alçada do site Consumidor.gov.br.
Cooperação transfronteiriça
A Recomendação sobre E-commerce enfatiza fortemente a necessidade de melhora e a importância de facilitar a cooperação internacional, no combate a práticas comerciais transfronteiriças fraudulentas e enganosas. A questão está se tornando particularmente importante na medida em que os dados globais de reclamações de consumidores mostram que o crescente volume de transações transfronteiriças on-line, vem sendo associado a um aumento de fraudes transfronteiriças, tanto de produtos não seguros que foram banidos, como de produtos que são objeto de recall no mercado off-line.
Em um contexto dessa natureza, no qual novos modelos de negócios e tecnologias facilitaram o uso de fronteiras virtuais para burlar os regulamentos, mediante o estabelecimento do negócio em um país e tendo como alvo os consumidores de outro, faz-se necessário adotar uma cooperação transfronteiriça mais intensa e rotineira. Em 2018, mais de 29 000 reclamações internacionais foram relatadas ao Econsumer.gov,42 um website dedicado a reunir reclamações transfronteiriças, mantido pela Rede Internacional de Controle e Proteção dos Consumidores (ICPEN), uma rede informal, que abrange autoridades de consumo de mais de 60 países (incluindo 14 economias do G20).
Até o momento, não existe uma estrutura específica na cooperação transfronteiriça para a defesa dos consumidores no Brasil. Além da insuficiência de recursos para o engajamento na cooperação transfronteiriça, a falta de uma estrutura para tal, tem sido identificada como obstáculo à cooperação internacional. Assim sendo, a Senacon deveria ser equipada com as competências e as ferramentas necessárias, para poder melhorar a cooperação transfronteiriça.
A Senacon firmou um Protocolo de Intenções sobre defesa do consumidor com sete países, incluindo Argentina, Alemanha, Coreia, Paraguai, Peru, Portugal e Uruguai. Recentemente, a entidade intensificou sua participação na cooperação transfronteiriça, no âmbito da Rede Consumo Seguro e Saúde (RCSS) da OEA, a fim de tratar assuntos relacionados ao recall de produtos. A Senacon é uma das fundadoras da RCSS, que abrange recall de produtos, alimentos e medicamentos. A Senacon também cooperou com suas contrapartes no âmbito do Mercosul, em áreas como gerenciamento de reclamações de consumidores.
Até 2018, a Senacon não dispunha dos recursos necessários para se integrar à cooperação transfronteiriça com órgãos estrangeiros de defesa do consumidor, nem para melhorar a sua colaboração com a OCDE e outros foros, como a UNCTAD. A Senacon está atualmente em processo de obtenção de mais recursos (incluindo orçamento e equipe de especialistas), para promover e se integrar à cooperação internacional, ajudando a melhorar a capacidade do SNDC de colaborar com a cooperação internacional levada a efeito pela Senacon. A secretaria iniciou o processo de filiação à Rede Internacional de Controle e Proteção dos Consumidores e pretende também participar da plataforma Econsumer.gov assim que a versão em português estiver disponível.
O papel das associações industriais
Há um sem-número de associações e câmaras privadas empenhadas no desenvolvimento de orientações e políticas em torno da tecnologia da informação, incluindo políticas referentes a questões digitais e estudos sobre e-commerce e Internet. Essas entidades não estão vinculadas às associações do SNDC.
As organizações do setor privado com foco no e-commerce mais ativas no Brasil são:
A Câmara Brasileira do Comércio Eletrônico (Camara-e.net)43 é a entidade brasileira mais representativa na economia digital, cuja principal função tem sido a de promover a segurança nas transações eletrônicas, formular políticas públicas, e melhorar as estruturas regulatórias setoriais, a fim de oferecer suporte legal às medidas de incentivo que são necessárias ao desenvolvimento do país. A entidade também tem como objetivo incentivar a inovação, a geração de conhecimento e o desenvolvimento sustentável da economia digital. A Camara-e.net conta com oito comitês especiais, aos quais as empresas podem se juntar e apoiar o seu trabalho: 1) Antifraude e Gestão de Riscos; 2) Identidades Digitais Confiáveis; 3) Insurtechs; 4) Jurídico; 5) Meios de Pagamento na Internet; 6) Micro, Pequena e Média Empresa; 7) Traveltech; e 8) Varejo Online. A Camara-e.net também promove marcas de confiança como a Clique e-Valide44 e apoia campanhas nacionais para ajudar os consumidores a navegar e comprar on-line com mais segurança, como a Internet Segura45 e a DETONAWEB.46
A Associação Brasileira de Comércio Eletrônico (ABComm)47 é uma organização sem fins lucrativos, composta por um sem-número de empresas brasileiras de varejo, do setor de tecnologia da informação. A associação promove os interesses de empresas tecnológicas junto às instituições governamentais. O website da ABComm contém informações úteis sobre e-commerce, incluindo estudos e pesquisas.
A Senacon supervisiona a implementação de diversas iniciativas de corregulamentação. Por exemplo, em 2019, a indústria de telemarketing lançou uma iniciativa denominada “Não me perturbe”, para garantir que as empresas não façam ligações de telemarketing não solicitadas pelos consumidores. De maneira similar, em 2020, a Federação Brasileira de Bancos pretende lançar a plataforma denominada “Não me perturbe” dos bancos, contra ofertas de crédito indesejadas.
O papel das associações de consumidores
As associações de consumidores exercem um papel importante no desenvolvimento, e na implementação da política nacional das relações de consumo no Brasil. Algumas associações de consumidores, incluindo o Idec e a Proteste, são membros do SNDC e participam do desenvolvimento e da disseminação de políticas em benefício dos consumidores.
Além disso, muitas associações dessa natureza no Brasil ajudam a aumentar a conscientização dos consumidores por meio de seus websites, publicações e outras atividades promocionais. Por exemplo, algumas associações de consumidores participaram em campanhas anuais de conscienticação, em relação às vendas realizadas durante a Black Friday.
Mecanismos de resolução de conflitos e reparação dos consumidores
Métodos de resolução de conflitos
No Brasil, há diversos métodos alternativos de resolução de conflitos entre consumidores e empresas por meio da Internet. Dentre eles, destaca-se o “Reclame Aqui”,48 que tem mais de 15 milhões de usuários e 120 000 empresas.
Além disso, em 2014, a Senacon criou o Consumidor.gov.br, canal público de resolução de conflitos, isento de custos, que permite que consumidores e empresas resolvam seus conflitos diretamente on-line. A plataforma, que é monitorada pelos Procons e pelo Ministério da Justiça, contém uma lista de empresas participantes organizadas por área, incluindo empresas de e-commerce. Para iniciar o processo, o consumidor deve se cadastrar no website ou aplicativo móvel, e registrar a sua queixa. As empresas têm até dez dias para analisar o caso e apresentar uma resposta formal ao consumidor. Os consumidores dispõem de 20 dias adicionais para informar se ficaram satisfeitos com a resposta da empresa.
Deve-se observar que, sempre que o consumidor e a empresa não chegarem a um acordo para resolver o conflito on-line, de forma privada ou pública, o consumidor mantém o direito de enviar uma reclamação por intermédio dos procedimentos administrativos formais, que estão disponíveis por meio dos órgãos governamentais de defesa do consumidor, como os Procons estaduais e municipais, a Defensoria Pública, o Ministério Público e as Varas Cíveis.
Segundo uma pesquisa com consumidores realizada em 2019 pela Senacon, 97% dos usuários da plataforma Consumidor.gov.br recomendaram a plataforma, e 80% dos usuários relataram que seus problemas foram resolvidos por intermédio dela. No entanto, há a necessidade de uma melhor comunicação para elevar a conscientização dos consumidores em relação à plataforma. A mesma pesquisa revelou que 59% dos consumidores não sabiam que a plataforma também estava disponível em forma de aplicativo, e somente 25% consideravam a plataforma bem divulgada.
Para tratar a questão e incentivar o uso da plataforma, a Senacon vem cooperando com os Tribunais de Justiça nacionais e estaduais. Uma parceria estratégica dessa natureza entre o judiciário e o executivo, tem ajudado a reduzir o volume de disputas judiciais, que incluíam mais de 6 milhões de problemas relativos ao consumo, ainda que as Varas Cíveis especiais tenham sido criadas para simplificar os processos judiciais. A Senacon já firmou parcerias com 20 Tribunais de Justiça nacionais. Em julho de 2019, a secretaria firmou um acordo de cooperação técnica com o Conselho Nacional de Justiça, a fim de promover a integração entre a plataforma Consumidor.gov.br e o Processo Judicial Eletrônico (PJe).
Além disso, a Senacon tem colaborado com as empresas, para expandir o número de estabelecimentos que participam do Consumidor.gov.br. Com o objetivo de ampliar a filiação, a Senacon permite que as empresas usem o “Selo Participação”, para indicar a sua inclusão na plataforma.
Casos de resolução de conflitos
Em anos recentes, o DPDC, órgão da Senacon, abriu os seguintes processos administrativos:
Facebook Inc. e Facebook Serviços Online do Brasil Ltda (três casos ex officio abertos de forma discricionária pelo DPDC):
Em um dos casos, o DPDC está encarregado de verificar um suposto compartilhamento indevido de dados de consumidores pelas empresas do Facebook acima mencionadas. O caso foi aberto em 2018; o processo administrativo foi instaurado em março de 2019.
Em outro caso, o DPDC encontrou um suposto acesso ilícito a contas de usuários do Facebook no Brasil, que por meio de sua plataforma coletava dados pessoais tais como nomes, e-mails, números de telefone, lugares visitados e buscas feitas na Internet. O caso foi aberto em 2018 e o processo administrativo foi instaurado em março de 2019.
Um terceiro caso diz respeito à verificação do uso de dados pessoais sensíveis, incluindo frequência cardíaca e ciclos menstruais, coletados por apps associados, inclusive de pessoas que não eram realmente usuários do Facebook. O caso foi iniciado em fevereiro de 2019 e se encontra atualmente na fase de verificação preliminar.
Google Brasil Internet Ltda. O DPDC recebeu uma queixa formal do Ministério Público do estado do Piauí, sobre o acesso a e-mails pessoais enviados via Gmail sem o consentimento expresso dos usuários do Gmail. Um processo administrativo foi instaurado em fevereiro de 2019.49
OI (TNL PCS S/A). O DPDC abriu uma investigação contra a antiga empresa de telecomunicações brasileira OI, referente a supostas irregularidades na tecnologia que é capaz de mapear e rastrear a navegação na Internet, incluindo o histórico de compras dos consumidores para fins publicitários. O processo administrativo foi instaurado em fevereiro de 2019.
Educação e conscientização
Um instrumento importante que o Brasil desenvolveu nessa área foi o “Guia do Consumidor Estrangeiro”,50 criado pelo Procon do estado do Paraná sob a supervisão do Instituto Nacional de Metrologia, Qualidade e Tecnologia (INMETRO).51 O principal propósito do guia, era o de orientar o consumidor estrangeiro no Brasil quanto aos seus direitos e responsabilidades, em suas relações com empresas e entidades em diferentes áreas da economia. O guia foi elaborado com base nos direitos e responsabilidades das empresas e dos consumidores no CDC. Ele contém informações como, por exemplo, onde reclamar e como obter reparações, e apresenta uma lista de organizações e associações de defesa do consumidor, que podem ser de ajuda no processo de dirimir disputas. Mas o guia não foi atualizado.
A Escola Nacional de Defesa do Consumidor (ENDC)52 foi criada em 13 de agosto de 2007 pela Portaria 1.377. A entidade se ocupa ativamente de promover o conhecimento e a educação na defesa do consumidor, mediante a oferta de treinamentos especialmente concebidos para membros do SNDC no país inteiro, além de desenvolver conhecimentos específicos sobre as relações de consumo, que são essenciais à elaboração de políticas públicas. A ENDC dispõe de um grande número de manuais e guias digitais, que giram em torno da defesa dos direitos do consumidor. Por exemplo, ela elaborou um guia sobre a proteção de dados nas relações de consumo e sobre informações de crédito. A ENDC estabeleceu uma parceria com a Universidade de Brasília para implementar um sistema oficial de certificação. Ela ampliou seus programas de educação pública por meio do envolvimento de outros órgãos públicos nacionais, como a Agência Nacional de Vigilância Sanitária; a Agência Nacional de Aviação Civil; o Banco Central do Brasil; a Agência Nacional de Telecomunicações; o Ministério da Agricultura, Pecuária e Abastecimento; e a Agência Nacional de Saúde Suplementar, dentre outros.
Novas iniciativas foram implementadas em anos recentes, com o propósito de educar e aumentar a conscientização dos consumidores quanto a seus direitos no e-commerce e aumentar a competência digital deles. Por exemplo, a Senacon produziu um vídeo educativo sobre questões de consumo relacionadas à economia digital.53 Além disso, foram desenvolvidos programas educacionais, tendo como alvo consumidores vulneráveis ou em desvantagem e que giram em torno do impacto das redes sociais sobre as tendências de consumo dos jovens.54
Conclusões e recomendações de políticas
O Quadro 4.10 contém as recomendações propostas pela OCDE para o Brasil, com a finalidade de aprimorar a defesa e o empoderamento dos consumidores, e de melhorar sua base de evidências para a tomada de decisões no que diz respeito a políticas de consumo.
Quadro 4.10. Recomendações de políticas para a defesa e o empoderamento dos consumidores
Para aprimorar a defesa e o empoderamento dos consumidores, o Brasil deve:
Estabelecer um modelo para a análise de dados oriundos de reclamações de consumidores, e identificar questões que exijam políticas e aplicações da lei, a fim de proteger os consumidores digitais.
Coletar e analisar dados de reclamações de consumidores que sejam específicos a transações transfronteiriças, para entender melhor a natureza e a escala de questões de consumo associadas com transações dessa natureza.
Conceder às autoridades domésticas relevantes, como a Senacon, os poderes, as ferramentas e os recursos adequados, para aprimorar a sua participação na cooperação transfronteiriça no domínio de defesa do consumidor. Isso poderia incluir a participação nas atividades da Rede Internacional de Controle e Proteção dos Consumidores (ICPEN).
Melhorar a eficácia da Plataforma governamental de resolução de conflitos e reparação, Consumidor.gov.br, mediante a avaliação do uso e da satisfação dos consumidores com a plataforma, além de aprimorar a conscientização dos consumidores em relação à base de dados, ao mesmo tempo em que examina os casos não resolvidos.
Referências
Baptista Luz (2017), Proteção de Dados, a legislação vigente no Brasil, Livro Branco, Baptista Luz Advogados, http://baptistaluz.com.br/wp-content/uploads/2017/11/Privacy-Hub-Leis-Setoriais.pdf.
Cert.br (2020), Estatísticas dos Incidentes Reportados ao CERT.br, https://www.cert.br/stats/incidentes (acessado em 8 de março de 2020).
Cetic.br (2018), “A8. Estabelecimentos de saúde, por existência de documento que define uma política de segurança da informação”, TIC Saúde 2018, Comitê Gestor da Internet no Brasil, São Paulo, https://www.cetic.br/tics/saude/2018/estabelecimentos/A8.
Conselho Administrativo de Defesa Econômica do Brasil (2018), Implications of E-commerce for Competition Policy: Note by Brazil, https://one.oecd.org/document/DAF/COMP/WD(2018)37/en/pdf.
Consumidor.gov.br (2020), Indicadores (base de dados), https://consumidor.gov.br/pages/dadosabertos/externo/ (acessado em março de 2020).
CTIR.br (2020), Estatísticas Resultantes do Trabalho de Detecção, Triagem, Análise e Resposta a Incidentes Cibernéticos, https://emnumeros.ctir.gov.br (acessado em 9 de março de 2020).
Demetrio, A. (2012), “Na Rio+20, Exército testa estratégias de defesa virtual em grandes eventos”, G1, http://g1.globo.com/tecnologia/noticia/2012/05/na-rio20-exercito-testa-estrategias-de-defesa-virtual-em-grandes-eventos.html.
Ebit Nielsen (2020), Webshoppers 41ª Edição, www.ebit.com.br/webshoppers.
EUROPOL (2018), Internet Organised Crime Threat Assessment (IOCTA) 2018, European Agency for Law Enforcement Cooperation, https://www.europol.europa.eu/sites/default/files/documents/iocta2018.pdf.
Export.gov (2019), Brazil: eCommerce, https://legacy.export.gov/article?id=Brazil-e-Commerce (acessado em 27 de janeiro de 2020).
GSI (2015), Estratégia de Segurança da Informação, Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018, http://dsic.planalto.gov.br/legislacao/4_Estrategia_de_SIC.pdf/view.
GSI/PR (2010), Livro Verde: Segurança Cibernética no Brasil, Presidência da República, Brasília, http://dsic.planalto.gov.br/legislacao/1_Livro_Verde_SEG_CIBER.pdf.
Hurel, L.M. e L. Cruz Lobato (2018), A Strategy for Cybersecurity Governance in Brazil, Strategic Note 30, Instituto Igarapé, Rio de Janeiro, https://igarape.org.br/wp-content/uploads/2019/01/A-Strategy-for-Cybersecurity-Governance-in-Brazil.pdf.
ICO (2020), “How we are funded”, Information Commissioner’s Office, Wilmslow, United Kingdom, https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funded.
Insurancecorp (2019), MARSH/JLT Lança Estudo Sobre Segurança Cibernética, http://insurancecorp.com.br/pt/2019/05/14/marsh-jlt-lanca-estudo-sobre-seguranca-cibernetica/.
LexisNexis Threatmetrix (2019), LexisNexis Risk Solutions Cybercrime Report: Global Insights from the LexisNexis Digital Identity Network January-June 2019, LexisNexis Risk Solutions, https://www.threatmetrix.com/wp-content/uploads/2019/09/lnrs-cybercrime-report-1568230431.pdf.
Ministério das Relações Exteriores (2019), Processo de adesão à Convenção de Budapeste – Nota Conjunta do Ministério das Relações Exteriores e do Ministério da Justiça e Segurança Pública, Nota 309, www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste-nota-conjunta-do-ministerio-das-relacoes-exteriores-e-do-ministerio-da-justica-e-seguranca-publica.
Norton (2018), Cyber Safety Insights Report Global Results, www.nortonlifelock.com/content/dam/nortonlifelock/pdfs/reports/2018-norton-lifelock-cyber-safety-insights-report-global-results-en.pdf.
OCDE (2019a), Going Digital: Shaping Policies, Improving Lives, OECD Publishing, Paris, https://doi.org/10.1787/9789264312012-en.
OCDE (2019b), Recommendation of the Council on Digital Security of Critical Activities, OCDE, Paris, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0456.
OCDE (2019c), Unpacking E-commerce: Business Models, Trends and Policies, OECD Publishing, Paris, https://dx.doi.org/10.1787/23561431-en.
OCDE (2018), “Consumer protection enforcement in a global digital marketplace”, OECD Digital Economy Papers, No. 266, OECD Publishing, Paris, https://doi.org/10.1787/f041eead-en.
OCDE (2016), Consumer Protection in E-commerce: OECD Recommendation, OECD Publishing, Paris, https://doi.org/10.1787/9789264255258-en.
OCDE (2015), Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, OECD Publishing, Paris, https://doi.org/10.1787/9789264245471-en.
OCDE (2013), Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, OCDE, Paris, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188.
OCDE (2007), Recommendation of the Council on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy, OCDE, Paris, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0352.
PagBrasil (2018), Brazil Ecommerce Report 2018, PagBrazil, https://www.pagbrasil.com/news/brazil-ecommerce-report-2018 (acessado em 27 de janeiro de 2020).
Ponemon (2017), 2017 Cost of Data Breach Study: Brazil, Ponemon Institute LLC, Traverse City, Michigan, https://www.ibm.com/downloads/cas/EGGP7BBZ.
Société Générale (2019), Brazilian Market: E-commerce, Société Générale, https://import-export.societegenerale.fr/en/country/brazil/ecommerce?accepter_cookies=oui (acessado em 27 de janeiro de 2020).
Observações
← 1. Disponível em: www.planalto.gov.br/ccivil_03/decreto/D3505.htm.
← 2. Marco Civil da Internet, processo regulatório da Lei 12.965/2014, disponível em: https://www.cgi.br/pagina/marco-civil-law-of-the-internet-in-brazil/180.
← 3. Acórdão 3117/2014 – TCU - Plenário de 12 de novembro de 2014, TC 003.732/2014-2, disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14D78C1F1014D794C57073235.
← 4. Decreto n° 9.637 de 26 de dezembro de 2018, disponível em: www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2018/Decreto/D9637.htm.
← 5. Disponível em: http://participa.br/seguranca-cibernetica/estrategia-nacional-de-seguranca-cibernetica-e-ciber.
← 6. Diário Oficial da União, publicado em 6 de fevereiro de 2020, N° 26, Seção 1, Página 6, Decreto n° 10.222 de 5 de fevereiro de 2020.
← 7. Informação disponível em: www.brazil.gov.br/government/how-the-government-works/federal-executive-branch.
← 8. Decreto n° 9.668 de 2 de janeiro de 2019, Artigo 26.
← 9. Decreto n° 9.668 de 2 de janeiro de 2019, disponível em: www.gsi.gov.br/sobre/estrutura/secretaria-de-coordenacao-de-sistemas.
← 10. Até à entrada em vigor da Lei Geral de Proteção de Dados.
← 11. Informação disponível em: http://dsic.planalto.gov.br/coordenacoes-gerais/cgnsc.
← 12. Informação disponível em: http://dsic.planalto.gov.br/coordenacoes-gerais/cggsic.
← 13. Informação disponível em: www.ctir.gov.br.
← 14. PNSI, Artigos 9-11.
← 15. PNSI, Artigo 15.
← 16. Resolução nº 4.658 de 26 de abril de 2018, disponível em: www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50581/Res_4658_v1_O.pdf.
← 17. Informação disponível em: https://www.iti.gov.br/icp-brasil.
← 18. Informação disponível em: https://www.iti.gov.br/comite-gestor.
← 19. Informação disponível em: https://www.iti.gov.br/auditoria.
← 20. Disponível em: https://estrutura.iti.gov.br.
← 21. Disponível em: https://www.iti.gov.br/icp-brasil/estrutura.
← 22. Disponível em: https://internetsegura.br/outras-iniciativas.
← 25. O artigo 6 da PNSI, que descreve os módulos da futura Estratégia Nacional de Segurança Cibernética, levanta questões semelhantes: segurança cibernética; defesa cibernética; segurança de infraestruturas críticas; segurança de informações confidenciais e proteção contra vazamento de dados.
← 27. Disponível em: www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm.
← 29. Disponível em: https://idec.org.br/ferramenta/anti-mapa-de-privacidade.
← 31. A Rede Global para a Proteção da Privacidade é uma rede pública informal, criada para promover a cooperação acerca de aspectos práticos da aplicação das leis de privacidade e proteção de dados. Essa rede oferece uma lista de pontos de contato oficiais para as autoridades participantes, com o propósito de facilitar as cooperações de investigação e aplicação da lei em questões específicas, e para partilhar experiências e boas práticas de investigação e aplicação da lei.
← 32. Um estudo mostra que o Brasil atualmente possui mais de 40 leis e regulamentos setoriais que regem, direta ou indiretamente, a proteção de dados (veja Baptista Luz [2017]). Por exemplo, o Código Civil estabelece o direito à vida privada como um direito pessoal irrenunciável e inalienável. O Código de Defesa do Consumidor de 1990, estabelece regras específicas para coleta, tratamento, divulgação e armazenamento de dados do consumidor, e os requisitos para as empresas obterem o consentimento inequívoco dos consumidores para conduzir suas atividades, além dos direitos específicos dos titulares de dados como, por exemplo, acesso às informações e à retificação de seus dados. O Marco Civil da Internet estabelece princípios, regras, direitos e deveres dos usuários da Internet no Brasil. A lei contém regras específicas quanto à coleta, o tratamento e o armazenamento de dados pessoais, e quanto à transferência de dados para terceiros, além de deveres sobre transparência, minimização de dados e implementação de medidas de segurança pelos controladores dos dados.
← 33. Veja o comunicado à imprensa por parte do Ministério da Justiça e Segurança Pública de 30 de dezembro de 2019 em: https://www.novo.justica.gov.br/news/mjsp-multa-facebook-em-r-6-6-milhoes.
← 34. O Inquérito Civil n° 03/2020 do MPDFT de 16 de janeiro de 2020 e sua solicitação ao NIC.br para o congelamento do domínio está disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2020/11547-mpdft-investiga-empresa-que-vende-dados-de-cidadaos-na-internet.
← 35. A média da OCDE em 2017 ficou em torno de 9% (OCDE, 2019c).
← 36. Disponível em: https://www.consumidor.gov.br.
← 37. Disponível em: https://sindecnacional.mj.gov.br.
← 38. A Senacon é a Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, e é responsável por desenvolver, promover, coordenar e implementar a estrutura de políticas de consumo no Brasil.
← 39. A Senacon está introduzindo uma nova base de dados de reclamações de consumidores, o “Pró Consumidor”, que, a partir de 2020, vai gradualmente substituir o SINDEC.
← 40. Lei nº 12.965 de 23 de abril de 2014, disponível em: www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.
← 41. Disponível em: www.planalto.gov.br/ccivil_03/decreto/D2181.htm.
← 42. Disponível em: https://www.econsumer.gov/#crnt.
← 43. Disponível em: https://www.camara-e.net.
← 44. Disponível em: https://e-mpe.com.
← 45. Disponível em: www.internetsegura.org.
← 46. Disponível em: https://www.detonaweb.com.br/pme.
← 47. Disponível em: https://abcomm.org.
← 48. Disponível em: https://www.reclameaqui.com.br.
← 49. Um breve resumo do caso está disponível em: https://globaldatareview.com/article/1180225/google-facing-proceedings-in-brazil-over-email-scanning.
← 50. Disponível em: https://www.justica.gov.br/seus-direitos/consumidor/educacao-para-o-consumo/guia-do-consumidor-estrangeiro/anexos-1/guia_eng.pdf.
← 51. Disponível em: www4.inmetro.gov.br.
← 52. Disponível em:https://defesadoconsumidor.gov.br/escolanacional.