Marco Civil da Internet – Qual o impacto nas empresas?

Em 23 de abril de 2014 foi publicado o Marco Civil da Internet como Lei nº 12.965, cujo objetivo é de estabelecer princípios, garantias, direitos e deveres no uso da internet no Brasil, bem como regulamentar a intervenção jurídica.

Mais de um ano se passou e percebe-se que as operadoras e provedores de Internet têm se adequado e fazendo a sua parte, entretanto a maioria das empresas não. No seu texto, o Marco Civil estabelece pontos com impactos para organizações e suas áreas de tecnologia da informação, das quais podemos destacar três:

1. Privacidade e armazenamento de dados de usuários,
2. Guarda de registros
3. Neutralidade da rede.

No tocante à privacidade de dados dos usuários, organizações que ofereçam serviços que envolvam registros e cadastros, deverão estabelecer instrumentos para manutenção da privacidade, bem como o sigilo das comunicações privadas armazenadas. Logo, o Art. 7º estabelece que as organizações passam a ser diretamente responsáveis pelas informações armazenadas de seus usuários, sendo que o acesso aos registros de comunicações só poderá ser realizado a partir de ordem judicial. O artigo supracitado também estabelece a proibição do fornecimento de dados pessoais a terceiros, salvo em caso de consentimento por parte do usuário.

Os acessos aos dados de usuários por setores como a TI devem obedecer às determinações associadas com a preservação da privacidade. Sistemas também deverão ser modificados para que o uso, armazenamento e tratamento de dados pessoais de usuários só sejam executados com objetivos que justifiquem a coleta, sendo necessária a análise da legislação e especificação nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet, o consentimento deve estar destacado das demais cláusulas contratuais.

No que se refere a guarda de registros, o Art. 15º estabelece a necessidade de manter pelo prazo de seis meses os registros de acesso a aplicações de Internet sob sigilo e segurança. Por registros de acesso a aplicações compreende-se todo conjunto de informações referentes a data e hora de uso, a partir de um determinado endereço IP. No texto, se identifica a clara responsabilidade por manter e assegurar os registros pelo do provedor de aplicação, não cabendo neste caso a transferência da responsabilidade. Desta forma empresas que disponibilizem aplicações aos seus colaboradores devem então manter os registros de acesso com a devida segurança. Como mencionado, o prazo limitado pelo Marco Civil é de seis meses, porém se solicitado por ordem judicial este prazo pode ser aumentado.

Outro ponto que destaca-se e pode afetar diretamente as organizações refere-se ao disposto no Art. 9º sobre a neutralidade da rede e o tratamento igualitário de qualquer pacote de dados em trânsito pela Internet, sem distinção de conteúdo, origem, destino, serviço, terminal ou aplicação. Desta forma tráfegos relacionadas a determinadas aplicações ou serviços não podem ser priorizados, exceto para serviços de emergência ou por requisitos de ordem técnica que possam impactar na prestação adequada dos serviços. Além da não priorização também é vetado o bloqueio, monitoramento, filtragem ou análise de conteúdo dos pacotes de dados quando ligado ao provimento. Técnicas utilizadas para o gerenciamento e mitigação de trafego, mesmo as relacionadas com a segurança, devem ser informadas previamente aos usuários.

É importante, neste ponto, que os contratantes verifiquem quais técnicas serão utilizadas e se estão contempladas no contrato técnicas que possam representar a solução em caso de incidentes, como as técnicas utilizadas em caso de mitigação de ataques de negação de serviço DoS/DDoS. Para melhor compreender o texto aprovado recomenda-se que as empresas que forneçam serviços na internet, busquem auxilio junto aos seus departamentos jurídicos. Para garantir as exigências legais as organizações devem atentar para pontos de melhorias relacionados com a TI, infraestrutura e segurança do ambiente. Ações como a gestão de configurações e análises de segurança são medidas que podem ser adotadas e que contribuem para o cumprimento dos requisitos legais. Com intuito de garantir a privacidade de dados de usuários a adoção de técnicas para prevenção de violação de dados e vazamentos de informação também podem ser implantadas.

Além da leitura do Marco Civil a Defenda recomenda que as organizações visitem a página do Departamento de Segurança da Informação e Comunicação – DSIC – e informem-se sobre outras leis que impactam na segurança da informação: https://dsic.planalto.gov.br/legislacaodsic

Recomendações:

Recomendamos abaixo algumas ações cabíveis para tratar os três pontos do Marco Civil discutidos nesse texto:

1. Armazenamento seguro de dados pessoais de usuários;
2. Auditoria no acesso de dados pessoais;
3. Implantação de sistemas para prevenir vazamento de dados e informações;
4. Configuração e armazenamento de registros de acessos a aplicações de internet;*
5. Configuração de sistemas de gerência de registro para armazenagem pelo período requerido;*
6. Verificação de sistemas de QoS e sua validade perante ao Marco Civil;
7. Análise de termos de serviços para sistemas e aplicações na Internet;
8. Análise de termos de serviço e contratos de provedores e operadoras;
9. Divulgação dos impactos para os colaboradores e demais usuários;

*A garantia das configurações pode ser realizada por meio de mecanismos para gestão de configuração.

Por Jonata Fröhlich, Maurício Ariza, Pâmela Carvalho – Defenda

Este artigo foi lido 2180 vezes!