Informa sobre tratamento de dados Informa sobre condições de entrega de dados a agentes do Estado Defende a privacidade de usuários no Judiciário Adota posicionamento público pró privacidade Publica relatório de transparência sobre pedidos de dados Notifica usuários sobre pedidos de dados Ver tabela de resultados da pesquisa anterior Ocultar tabela de resultados da pesquisa anterior

CLARO

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Claro obteve estrela cheia, pois atendeu completamente aos parâmetros de I a V e parcialmente os parâmetros VI e VII, o que faz com que tenha atendido ao equivalente a 6 parâmetros.

No que diz respeito ao parâmetro I, os contratos de prestação de serviço móvel da empresa tratam da coleta dados cadastrais e complementares, informam acerca da coleta de dados de perfil de consumo, localização, comportamento e uso do serviço, o que é repetido na Política de Privacidade. Ainda que informe todos os dados coletados, a empresa não traz informações específicas sobre as hipóteses de coleta, nem informa sobre registros de conexão, havendo espaço para aperfeiçoamento.

A Política de Privacidade da América Móvil traz, também, diretrizes para a proteção de dados dos funcionários e clientes que devem ser seguidas pelas subsidiárias, incluindo a coleta de dados mediante consentimento e de acordo com a legislação aplicável.

Contrato de Serviço Móvel Pessoal Pós-Pago 13.7. Uma vez solicitada pelo ASSINANTE a Portabilidade do Código de Acesso e atendidos os requisitos e as condições comerciais estabelecidas para tal, o ASSINANTE autoriza, desde já, o fornecimento de seus dados cadastrais para a “Entidade Administradora” e para a “Prestadora Doadora”, assim definidas pela ANATEL, a fim de permitir a conclusão, ou não, de sua solicitação de Portabilidade. 15.1 O ASSINANTE é responsável, nos termos da lei, pela veracidade das informações fornecidas e se obriga a manter sempre atualizados os seus dados cadastrais, bem como a informar qualquer modificação verificada, especialmente o seu endereço para envio de faturas e correspondências, de forma a não dar causa a qualquer dificuldade no que concerne à comunicação entre as Partes. A não atualização destes dados e a consequente não localização do ASSINANTE para contato poderá ocasionar a suspensão do Contrato e dos serviços prestados. Ademais o ASSINANTE reconhece à CLARO o direito de obter de terceiros as referências que considerar necessárias para fins do presente Contrato, observadas as normas pertinentes. 15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas. 15.13. O ASSINANTE concorda com a coleta de seus dados cadastrais, por força deste Contrato, e dos dados pessoais complementares, assim como o uso dos referidos dados, somente pela CLARO, de maneira que não se permita sua identificação. O ASSINANTE poderá rever a autorização concedida, a qualquer tempo, por meio de contato com a Central de Atendimento da CLARO. Política de privacidade: A Claro poderá coletar informações do perfil de consumo de seus usuários, tais como localização, recursos e equipamentos utilizados, navegação, ofertas contratadas ou pesquisadas, informações fornecidas durante a utilização, frequência e duração das suas atividades, bem como outras informações do comportamento do usuário na utilização dos serviços da Claro.

Quanto ao parâmetro II, no contrato e na Política de Privacidade a empresa apresenta informações sobre o uso dos dados e sua finalidade. Como mencionado acima, a Política de Privacidade da América Móvil traz diretrizes para a proteção de dados dos funcionários e clientes, que devem ser seguidas pelas subsidiárias, incluindo finalidades e usos desses dados.

Contrato de Serviço Móvel Pessoal Pós-Pago 15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas. Política de Privacidade: O processamento e utilização das informações coletadas ocorrerá para uso interno da CLARO BRASIL com a finalidade de aprimorar a experiência de utilização dos Usuários, promover a melhoria do desempenho da rede, expandir área de cobertura, personalizar ofertas de produtos e serviços, enviar alertas ou notificações, dentre outros benefícios ou vantagens comerciais que possam ser obtidas. Poderemos utilizar os Dados Pessoais para identificar e disponibilizar conteúdo relevante para os Usuários e enviar, por exemplo, informações sobre conta, consumo, pacote, promoções etc.

No que se refere ao parâmetro III, a Política de Privacidade da Claro traz informações detalhadas sobre onde são armazenados os dados e por quanto tempo. Além disso, quanto aos dados de consumo, localização, comportamento e uso do serviço, a empresa afirma que armazena de forma anônima e agregada. A empresa prevê ainda hipóteses em que o usuário pode requerer a exclusão dos dados.

Há espaço, ainda assim, para aperfeiçoamento da disciplina da exclusão dos dados, na ausência de requisição do usuário, por exemplo, por extinção do prazo de guarda obrigatória. A Política de Privacidade da América Móvil traz também diretrizes para a exclusão de dados. Neste documento, determina-se a exclusão, quando os dados deixarem de ser necessários para os fins que motivaram a coleta. Vale ressaltar, todavia, que essa política não está disponível no site da Claro, não sendo facilmente acessível aos clientes.

Contrato de Serviço Móvel Pessoal Pós-Pago 8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: n) exclusão definitiva de seus dados pessoais que tiver fornecido a determinada aplicação de internet. Política de Privacidade: O Usuário poderá solicitar a exclusão de seus Dados Pessoais e a CLARO adotará, mediante tempo e esforços possíveis e razoáveis, as medidas cabíveis para atender à solicitação. Guarda de registros de conexão e de aplicação. Por força do contrato firmado e de acordo com o(s) serviço(s) contratado(s) pelo Assinante, a CLARO armazenará os dados cadastrais e registros de utilização dos serviços, nos termos exigidos pela legislação vigente, observando inclusive as limitações aplicáveis a cada modalidade de serviço. Na provisão de conexão à internet a Claro armazenará os registros de conexão pelo prazo de 01 (um) ano, e não guardará os registros de acesso a aplicações de internet que permitam identificar, de forma individualizada, o conteúdo acessado. Na provisão de aplicação de internet, nos aplicativos próprios (da Claro) os respectivos registros de acesso a aplicações serão armazenados por 06 meses (só App próprio). Dados cadastrais e de faturamento serão armazenados no mínimo por 5 anos. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL.

Sobre o parâmetro IV, em sua Política de Privacidade, a Claro informa os padrões, práticas e medidas de segurança que adota, incluindo hipóteses de anonimização que também são trazidas nos contratos. No Código de Ética da América Móvil (p. 17-19), há informações sobre proteção de dados, como princípios, parâmetros e diretrizes a serem seguidos pelos funcionários da empresa para a segurança e proteção dos dados dos clientes e para a privacidade de suas comunicações. A Empresa tem ainda uma sessão no site sobre segurança da informação (https://www.claro.com.br/celular/seguranca-da-informacao).

Também no Relatório de Sustentabilidade da América Móvil, há informações sobre segurança da informação e proteção e privacidade de dados (p. 29-34 no relatório de 2017, e p. 52-58 no relatório de 2018). A Política de Privacidade da América Móvil traz diretrizes para a proteção de dados. Vale ressaltar, todavia, que essa política não está disponível no site da Claro, mas só é encontrada através do site da América Móvil ou seu relatório de sustentabilidade, não sendo completamente acessível e clara aos clientes.

15.12 A CLARO poderá coletar, utilizar e armazenar, a seu exclusivo critério, as informações relativas ao perfil de consumo, localização e comportamento utilização do serviço de seus Usuários, de forma anônima e agregada, com a finalidade de melhoria do desempenho da rede da CLARO e da experiência de utilização dos Usuários, bem como para personalização das ofertas. Política de Privacidade: O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. Guarda de registros de conexão e de aplicação. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL. Segurança no acesso e no armazenamento dos dados. A Claro utiliza soluções e medidas técnicas de segurança apropriadas a garantir a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes, compatíveis com os padrões internacionais e ao uso de boas práticas. Utiliza ainda medidas de segurança apropriadas aos riscos, como contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado. Somente pessoas autorizadas tem acesso às informações armazenadas. A permissão e privilégios de acesso exclusivo é definida pela Claro de acordo com as responsabilidades envolvidas. As informações são agrupadas em clusters e segmentos, sem permitir a associação única e individual do usuário.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, o contrato e a política de privacidade da empresa trazem informações sobre hipóteses e formas pelas quais compartilha dados dos clientes, assim como as finalidades específicas de cada tipo de compartilhamento. A empresa tem ainda uma seção sobre segurança da informação no site, na qual afirma que informações pessoais não são compartilhadas sem autorização. A Política de Privacidade da América Móvil traz, também, diretrizes para transferência e compartilhamento de dados pessoais. O item foi considerado, por isso, atendido.

Contrato de Serviço Móvel Pessoal Pós-Pago 8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: m) não fornecimento à terceiros de seus dados pessoais, inclusive registro de conexão, e de acesso a aplicações de internet, salvo mediante livre consentimento. 15.6 Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços. Contrato de Serviço Móvel Pessoal Pré-pago 15.6 Todas as informações do cadastro do ASSINANTE são confidenciais são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços. Política de Privacidade: O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário. O consentimento para o compartilhamento de informações individualizadas pode ser revisto, a qualquer tempo, por meio do aplicativo ou site de autoatendimento “Minha Claro” mediante a uso de senha pessoal e intransferível.

Sobre o parâmetro VI, considera-se que foi parcialmente atendido. A Política de Privacidade da Claro estabelece especificamente que “o Usuário poderá solicitar a exclusão de seus Dados Pessoais”, mas não menciona especificamente os direitos dos consumidores sobre seus dados sob a legislação vigente (como o de retificação e apagamento), nem fornece meios específicos para o exercício de tais direitos.

Finalmente, quanto ao parâmetro VII, considera-se também que foi parcialmente atendido. Isso porque o site da empresa dispõe de uma seção sobre segurança da informação (https://www.claro.com.br/celular/seguranca-da-informacao), que contém algumas das informações relevantes sobre privacidade e proteção de dados. Além disso, enaltecemos a facilidade para achar os contratos no site da empresa, disponíveis no rodapé da página inicial (“regulatório”), assim como a política de privacidade.

No entanto, como não encontramos quaisquer ambientes no site da Claro, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações completas sobre privacidade ou proteção de dados, como as contidas nos contratos acima mencionados, o parâmetro foi considerado somente parcialmente atendido.

Fora isso, a empresa poderia aprimorar a acessibilidade a outros documentos como os relatórios de sustentabilidade, o código de ética e política de privacidade do grupo América Móvil, que estão apenas em espanhol e são encontrados apenas no site da holding.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Claro obteve ¼ de estrela, pois atendeu apenas ao parâmetro I e, parcialmente, aos parâmetros II e VI.

Em sua política de privacidade, a empresa afirma que apenas suspende o sigilo e fornece informações individualizadas, na forma da lei e por ordem judicial, atendendo assim ao primeiro parâmetro. A política de privacidade da América Móvil reforça a diretriz de respeito à legislação vigente para fornecimento de dados. Também em seus contratos, a empresa prevê entre os direitos dos assinantes a inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei.

Contrato de Serviço Móvel Pessoal Pós-Pago “8.1 Além dos direitos já previstos neste Contrato são assegurados ao ASSINANTE os direitos estabelecidos no Regulamento do SMP e na Lei nº 12.965/2014, tais como: h) inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; i) inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; j) inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial Política de Privacidade: A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário.

Deve-se notar que a diferenciação entre o tratamento de dados cadastrais, dados de geolocalização e registros de conexão permanece incipiente. Especificamente quanto aos dados cadastrais (II, III e IV), a empresa traz no contrato de prestação do serviço móvel pessoal na modalidade pré-pago, na cláusula 15.6, a determinação, segundo a qual fornece dados cadastrais à autoridade judicial. Neste caso, não menciona a possibilidade de requisição por autoridades administrativas prevista em alguns diplomas normativos. Por outro lado, no contrato para a modalidade pós-paga, a empresa estabelece a possibilidade de fornecimento mediante determinação de “autoridade pública”, sem mencionar competência, especificar as autoridades assim consideradas ou as hipóteses de cabimento.

Pós-pago 15.6 Todas as informações relativas ao ASSINANTE constantes do cadastro da CLARO são confidenciais e só poderão ser fornecidas às pessoas e nas situações a seguir descritas: a) ao ASSINANTE; b) ao representante legal do ASSINANTE munido de Procuração específica para ter acesso a tais informações; c) a advogado ou agência especializada, contratado pela CLARO, para os fins exclusivos de cobrança; d) em decorrência de determinação de autoridade pública; e e) a outras prestadoras de Serviços de Telecomunicações, para fins específicos da prestação destes serviços. Pré-Pago 15.6 Todas as informações do cadastro do ASSINANTE são confidenciais e só poderão ser fornecidas: a) ao ASSINANTE; b) ao representante com procuração específica; c) à autoridade judicial; e d) a outras Prestadoras de Serviços de Telecomunicações, para fins específicos para prestação desses serviços.

Consideramos, por ora, parcialmente atendido o parâmetro II, já que em ambas as modalidades não há informações exaustivas sobre as circunstâncias nas quais se concede o acesso. No que se refere a dados cadastrais, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo

Quanto ao parâmetro V, a companhia não oferece informações ou referências legais claras sobre as circunstâncias nas quais fornece dados de geolocalização às autoridades judiciais ou administrativas;

Quanto ao parâmetro VI, em seus contratos, entre os direitos dos assinantes, a empresa assegura ao assinante o direito ao não fornecimento terceiros de seus dados pessoais, inclusive registros de conexão e de acesso a aplicações de internet, salvo mediante livre consentimento. Não aborda, no entanto, a possibilidade, determinada por lei, de acesso mediante ordem judicial, falhando em esclarecer ao usuário as hipóteses nas quais pode ter sua privacidade comprometida, além de não especificar qual seu entendimento quanto ao que constituem os registros de conexão. Por isso, consideramos parcialmente atendido este parâmetro.

8.1 São assegurados ao Assinante os direitos e deveres estabelecidos neste Contrato, e no Regulamento SMP e na Lei no 12.965/2014, tais como: d) inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; e) inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; f) inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; (…)i) não fornecimento à terceiros de seus dados pessoais, inclusive registro de conexão, e de acesso a aplicações de internet, salvo mediante livre consentimento.

Como já fizemos notar anteriormente, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet.

Como antecipado desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicos seus procedimentos e interpretações. Assim, é importante que a Claro informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias, a exemplo do que já fazem grandes empresas do setor.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Claro obteve estrela cheia, pois atendeu a ambos parâmetros.

Quanto ao parâmetro I, realizamos buscas exploratórias e localizamos a interposição de embargos de declaração, pela Claro, no escopo da Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL já foi considerada na última edição do QDSD e não registrou movimentações, e não foi, portanto, levada em consideração nesta.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e não foram encontrados casos relacionados a ações penais. A pesquisa retornou, no entanto, um caso cível para fornecimento de portas lógicas, cuja argumentação não tocava a questão de privacidade (AI nº 2214824-53.2017.8.26.0000). Mais relevante nesta categoria é uma apelação em Mandado de segurança (1002366-10.2017.8.26.0451), na qual a empresa questionou notificações expedidas pela Delegacia Regional Tributária de Campinas, requisitando dados cadastrais de usuários a partir dos endereços IP fornecidos, argumentando a violação de garantias constitucionais da privacidade e de proteção ao sigilo de dados.

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Claro não obteve estrela nessa categoria.

Em algumas oportunidades ao longo do período compreendido nesta pesquisa, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de os parâmetros não fossem atendidos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Claro obteve estrela vazia, pois não atendeu aos parâmetros. O Relatório de Sustentabilidade do grupo América Móvil, apesar de trazer informações e parâmetros sobre proteção de dados e privacidade, não publica estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Claro obteve estrela vazia, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

NET

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A NET obteve estrela cheia, pois atendeu integralmente aos parâmetros de I a IV e parcialmente os parâmetros V e VI, de forma a totalizar o equivalente a 5 parâmetros.

Quanto ao parâmetro I, a Política de Privacidade da empresa traz algumas informações sobre a coleta de dados do perfil de consumo do usuário e informações de uso. A Política de Privacidade da América Móvil traz, também, diretrizes para a proteção de dados dos funcionários e clientes, incluindo disposições sobre a coleta de dados, mediante consentimento e de acordo com a legislação aplicável. Já o contrato faz apenas referência a dispositivos da ANATEL que enunciam direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução. Política de Privacidade: A Claro poderá coletar informações do perfil de consumo de seus usuários, tais como localização, recursos e equipamentos utilizados, navegação, ofertas contratadas ou pesquisadas, informações fornecidas durante a utilização, frequência e duração das suas atividades, bem como outras informações do comportamento do usuário na utilização dos serviços da Claro.

Ainda que o contrato não traga informações sobre tratamento de dados pessoais de clientes, foi possível encontrá-las em outros documentos. Por isso, o parâmetro foi considerado atendido. Cabe, no entanto, observar que embora a Política de Privacidade albergue todas as previsões, ela determina que os contratos prevejam regras específicas aplicáveis a cada serviço. No caso da NET, isso não foi observado.

Quanto ao parâmetro II, na Política de Privacidade, a empresa apresenta informações sobre o uso dos dados e sua finalidade. A Política de Privacidade da América Móvil prevê ainda diretrizes para a tratamento de dados, incluindo finalidades e usos desses dados. O item foi considerado atendido.

Política de Privacidade: O processamento e utilização das informações coletadas ocorrerá para uso interno da CLARO BRASIL com a finalidade de aprimorar a experiência de utilização dos Usuários, promover a melhoria do desempenho da rede, expandir área de cobertura, personalizar ofertas de produtos e serviços, enviar alertas ou notificações, dentre outros benefícios ou vantagens comerciais que possam ser obtidas. Poderemos utilizar os Dados Pessoais para identificar e disponibilizar conteúdo relevante para os Usuários e enviar, por exemplo, informações sobre conta, consumo, pacote, promoções etc.

No que se refere ao parâmetro III, a Política de Privacidade da NET traz informações detalhadas sobre onde são armazenados os dados e por quanto tempo. Além disso, quanto aos dados de consumo, localização, comportamento e uso dos serviços, a empresa afirma que armazena de forma anônima e agregada. A empresa prevê ainda hipóteses em que o usuário pode requerer a exclusão dos dados. Foi, por isso, considerado atendido.

Há espaço, ainda assim, para aperfeiçoamento da disciplina da exclusão dos dados, na ausência de requisição do usuário, por exemplo, por extinção do prazo de guarda obrigatória. A Política de Privacidade da América Móvil traz também diretrizes para a exclusão de dados. Neste documento, determina-se a exclusão, quando os dados deixarem de ser necessários para os fins que motivaram a coleta. Vale ressaltar, todavia, que essa política não está disponível no site da NET, não sendo facilmente acessível aos clientes.

Política de Privacidade: O Usuário poderá solicitar a exclusão de seus Dados Pessoais e a CLARO adotará, mediante tempo e esforços possíveis e razoáveis, as medidas cabíveis para atender à solicitação. Guarda de registros de conexão e de aplicação. Por força do contrato firmado e de acordo com o(s) serviço(s) contratado(s) pelo Assinante, a CLARO armazenará os dados cadastrais e registros de utilização dos serviços, nos termos exigidos pela legislação vigente, observando inclusive as limitações aplicáveis a cada modalidade de serviço. Na provisão de conexão à internet a Claro armazenará os registros de conexão pelo prazo de 01 (um) ano, e não guardará os registros de acesso a aplicações de internet que permitam identificar, de forma individualizada, o conteúdo acessado. Na provisão de aplicação de internet, nos aplicativos próprios (da Claro) os respectivos registros de acesso a aplicações serão armazenados por 06 meses (só App próprio). Dados cadastrais e de faturamento serão armazenados no mínimo por 5 anos. A maior parte das informações são processadas nos Datacenters da CLARO BRASIL, respeitando as legislações vigentes. Casos específicos poderão ser processadas externamente e/ou armazenados em país estrangeiro que ofereça o mesmo nível de proteção e segurança da CLARO BRASIL.

Sobre o parâmetro IV, em sua Política de Privacidade, a NET informa os padrões, práticas e medidas de segurança que adota, incluindo hipóteses de anonimização. No Código de Ética da América Móvil (p. 17-19), há informações sobre proteção de dados, como princípios, parâmetros e diretrizes a serem seguidos para a segurança e proteção dos dados dos clientes e para a privacidade de suas comunicações.

Também no Relatório de Sustentabilidade e na Política de Privacidade da América Móvil, há informações sobre segurança da informação, proteção e privacidade de dados (p. 29-34 no relatório de 2017, e p. 52-58 no relatório de 2018). O item foi considerado, por isso, atendido.

Política de Privacidade O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. Segurança no acesso e no armazenamento dos dados. A Claro utiliza soluções e medidas técnicas de segurança apropriadas a garantir a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes, compatíveis com os padrões internacionais e ao uso de boas práticas. Utiliza ainda medidas de segurança apropriadas aos riscos, como contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado. Somente pessoas autorizadas tem acesso às informações armazenadas. A permissão e privilégios de acesso exclusivo é definida pela Claro de acordo com as responsabilidades envolvidas.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, a política de privacidade da empresa traz algumas informações sobre hipóteses e formas pelas quais compartilha dados dos clientes. A empresa tem ainda uma seção sobre segurança da informação no site, na qual afirma que informações pessoais não são compartilhadas sem autorização. A Política de Privacidade da América Móvil traz, também, algumas diretrizes genéricas para transferência e compartilhamento de dados pessoais. No entanto, os documentos mencionados oferecem somente diretrizes gerais, não especificando com quais parceiros ou empresas do grupo econômico os dados são compartilhados, qual a finalidade de tais compartilhamentos etc. Por isso, o item foi considerado parcialmente atendido.

Política de Privacidade O compartilhamento de informações com terceiros ocorre somente de forma anônima e agregada, preservando assim a identidade e privacidade dos usuários. A Claro não compartilha informações individualizadas ou pseudoanonimizadas (que permita, por meio de processamentos, a identificação do usuário), exceto para fins exclusivos de atendimento, suporte e outros necessários ao desempenho da atividade da CLARO, sempre amparados por medidas de segurança e confidencialidade adequadas. A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário. O consentimento para o compartilhamento de informações individualizadas pode ser revisto, a qualquer tempo, por meio do aplicativo ou site de autoatendimento “Minha Claro” mediante a uso de senha pessoal e intransferível.

Sobre o parâmetro VI, considera-se que foi parcialmente atendido. A Política de Privacidade da empresa estabelece especificamente que “o Usuário poderá solicitar a exclusão de seus Dados Pessoais”, mas não menciona especificamente os direitos dos consumidores sobre seus dados sob a legislação vigente (como o de retificação e apagamento), nem fornece meios específicos para o exercício de tais direitos.

Por fim, não encontramos quaisquer ambientes no site da NET, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que há facilidade para achar os contratos no site da empresa, disponíveis no rodapé da página inicial (“regulatório”), assim como a política de privacidade (http://www.netcombo.com.br/politica-de-privacidade), no item sobre contratos e regulamentos. Dessa forma, os clientes não deverão ter muitas dificuldades para encontrar esse tipo de informação. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Ainda assim, consideramos que a empresa pode aprimorar a acessibilidade a outros documentos, como os relatórios de sustentabilidade, o código de ética e a política de privacidade da América Móvil, que estão em espanhol e são encontrados apenas no site da holding.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A NET obteve ¼ de estrela, pois atendeu apenas a um parâmetro.

A NET atende ao parâmetro I ao afirmar, em sua Política de Privacidade, que tem obrigação de suspender o sigilo e fornecer os dados na forma da lei. A política de privacidade da América Móvil reforça a diretriz de respeito à legislação vigente para fornecimento de dados.

Política de Privacidade: A CLARO BRASIL tem obrigação de suspender o sigilo e tornar disponíveis os dados às autoridades que, na forma da lei, tenham competência para requisitar essas informações. Informações individualizadas só serão compartilhadas por força da lei, determinação judicial ou quando previamente autorizadas pelo usuário.

Ainda neste aspecto, vale destacar que a empresa faz referência no contrato a dispositivos da ANATEL que contém direitos e estabelecem deveres:

Cláusula 35.02. Os direitos e deveres dos assinantes do serviço de comunicação multimídia estão previstos nos artigos 56, 57 e 58 da Resolução 614/2013 da ANATEL. Os direitos e obrigações da PRESTADORA estão previstos nos artigos 41 a 55 da mesma Resolução.

A NET não informa, no entanto, a clientes que dados entrega e em que circunstâncias. Na cláusula 28.01 do contrato, a empresa afirma que, diante de práticas lesivas, será possível a disponibilização de toda e qualquer informação sobre o assinante, a qualquer tempo, às autoridades competentes

Cláusula 28.01. Sem prejuízo de outras não elencadas, são consideradas como práticas lesivas ao serviço NET VÍRTUA e/ou aos demais ASSINANTES, sujeitando-se o infrator a todas as cominações legais decorrentes, inclusive a rescisão contratual: a) O ASSINANTE será responsável por manter as configurações da máquina para acesso aos serviços aqui contratados, sendo proibido alterar estas configurações na tentativa de responsabilizar terceiros ou ocultar a identidade ou autoria. Na hipótese de ocorrência dos casos aqui mencionados, a PRESTADORA poderá disponibilizar a qualquer tempo às autoridades competentes toda e qualquer informação sobre o ASSINANTE, bem como cancelar a conta automaticamente, sem prévio aviso, respondendo o ASSINANTE civil e penalmente pelos atos praticados;

A redação do dispositivo faz parecer que só há fornecimento de dados a autoridades quando o usuário incorre em atividades nocivas à própria empresa, o que não é o caso na realidade.

A empresa também não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado, tampouco expõe seu entendimento quanto ao que constituem registros de conexão. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo. Tal clareza deve alcançar também as previsões acerca de dados de localização.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados, conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a NET informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A NET obteve estrela cheia, pois atendeu a ambos parâmetros.

Quanto ao parâmetro I, realizamos buscas exploratórias e localizamos a interposição de embargos de declaração, pela Claro, no escopo da Ação Civil Pública nº 0005292-42.2003.4.03.6110, que questiona, entre outros, a entrega de dados de portas lógicas às autoridades policiais. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL já foi considerada na última edição do QDSD e não registrou movimentações, e não foi, portanto, levada em consideração.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e não foram encontrados casos relacionados a ações penais. A pesquisa retornou, no entanto, um caso cível para fornecimento de portas lógicas, cuja argumentação não tocava a questão de privacidade (AI nº 2214824-53.2017.8.26.0000). Mais relevante nesta categoria é uma apelação em Mandado de segurança (1002366-10.2017.8.26.0451), na qual a empresa questionou notificações expedidas pela Delegacia Regional Tributária de Campinas, requisitando dados cadastrais de usuários a partir dos endereços IP fornecidos, argumentando a violação de garantias constitucionais da privacidade e de proteção ao sigilo de dados.

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A NET obteve estrela vazia nessa categoria.

Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de que os parâmetros não foram atendidos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A NET obteve estrela vazia, pois não atendeu ao parâmetro.

O Relatório de Sustentabilidade do grupo América Móvil, apesar de trazer informações e parâmetros sobre proteção de dados e privacidade, não publica estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A NET não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

OI Banda Larga

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Oi – Banda larga obteve estrela vazia, pois atendeu a apenas um parâmetro (dois foram parâmetros parcialmente atendidos).

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre.

Quanto ao parâmetro II, que diz respeito ao fornecimento de informações ou referências legais claras sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização, considerou-se parcialmente atendido. Em seu contrato de banda larga, na cláusula 9.20 (direitos do assinante), a Oi estabelece parâmetros gerais. Não são especificados, no entanto, os tratamentos de dados ou as finalidades a que estão submetidos. Afirma-se apenas que “são usados para finalidades que justifiquem sua coleta”.

9.20. Receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, quando/se são apagados. O item não foi considerado, por isso, atendido.

Na avaliação do parâmetro IV, considerado parcialmente atendido, constatamos que a empresa, em seu Relatório de Sustentabilidade (p. 6 a 37), afirma que a privacidade e segurança dos dados dos clientes são um de seus eixos de preocupação e assegura que toma medidas de segurança para proteger os dados dos clientes. Sua Política de Segurança da Informação, ademais, foi publicada no site. Ali, apesar de trazer como referências normas ISO de segurança da informação e apresentar algumas diretrizes e parâmetros a serem seguidos pelos funcionários da empresa, são enunciados parâmetros amplos e genéricos e não são disponibilizadas informações específicas sobre práticas adotadas com relação aos dados dos clientes, como, por exemplo, a segurança dos data centers, processos de anonimização, perfis e condições de acesso aos dados. A política é composta, sobretudo, de diretrizes e princípios gerais.

Contrato de banda larga, entre os direitos do cliente: 9.20. Receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta. Relatório de sustentabilidade, pg. 37: Ações de segurança das informações de clientes trafegadas na Companhia são baseadas nas normas legais aplicáveis e buscam definir padrões de tecnologia da rede e de conscientização da equipe, principalmente, nas áreas de negócio, tecnologia da informação e engenharia. O fluxo de aprovações avaliará a necessidade de o usuário ter acesso ou não ao grupo de informações trafegadas. A gestão da segurança da informação garante os requisitos mínimos de segurança em pesquisa e desenvolvimento de produtos, bem como nos testes anteriores à entrada em produção, e atua na disponibilização de informações de clientes. Estamos sempre avaliando melhorias em nossos processos internos, com o objetivo de aprimorar a segurança de dados de nossos clientes.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente, as informações disponíveis referem-se apenas ao acesso de autoridades, elemento avaliado na segunda categoria deste levantamento. O item não foi considerado, por isso, atendido.

Sobre o parâmetro VI, considera-se também que não foi atendido, uma vez que nenhum dos documentos analisados faz referência aos direitos dos consumidores sobre seus dados, nem oferecem mecanismos de contato com a Oi para exercício de tais direitos.

Por fim, não encontramos quaisquer ambientes no site da Oi, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VI não foi considerado atendido.

Nesse item, ressaltamos ainda que sequer os contratos de banda larga da Oi, que contêm algumas das informações necessárias sobre o tema, encontram-se facilmente acessíveis. Para acessar os contratos de banda larga, observamos que, primeiro, é necessário informar uma localização na qual o serviço esteja disponível (note-se que não há banda larga da Oi em São Paulo). Depois, deve-se entrar na sessão de internet do site, informar o CEP e o número, para verificar a disponibilidade do serviço. Se o serviço estiver disponível, é exibida uma página com todas as ofertas disponíveis. É necessário então selecionar uma oferta. Na página da oferta, é necessário entrar em “veja mais informações” e, apenas aí, existe um link para a página com todos os contratos e regulamentações de banda larga. A Política de Segurança da Informação, de fato, está publicada no site, mas não é de fácil acesso, sendo necessário acessar o botão “sobre a oi”, em seguida “empresas”, e depois “Política de Segurança da Informação”. Recomendaríamos, como boa prática, que na ausência de um espaço específico voltado para informações de privacidade e proteção de dados, ao menos os contratos que versem sobre esse assunto estejam facilmente acessíveis em seu site, inclusive antes de se iniciar a contratação de algum serviço específico.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Oi Banda Larga obteve meia estrela, pois atendeu integralmente aos parâmetros I, II e parcialmente ao parâmetro VI.

Inicialmente, cumpre notar que, em comparação com avaliação empreendida no ano de 2018, foram observadas alterações relevantes, tanto nos contratos de banda larga, quanto nos contratos de Serviço Móvel Pessoal (SMP) na modalidade pós-paga. Essas alterações não foram, no entanto, observadas nos contratos de Serviço Móvel Pessoal (SMP) na modalidade do pré-paga.

Na cláusula 9.9 do seu contrato de banda larga, entre os direitos do assinante, o provedor promete respeitar a privacidade e a proteção de dados dos usuários, exceto nas hipóteses constitucionais e legais de quebra de sigilo, sem especificá-las. Ainda na cláusula 9 (direitos do assinante) e na cláusula 11.1 (obrigações da Oi), refere-se às resoluções da ANATEL – Resolução n. 614, de 28 de maio de 2013 e Resolução No 632, de 7 de março de 2014 da ANATEL – e aos direitos e obrigações ali previstos como elementos integrantes do contrato. Promete, ainda, preservar a privacidade, intimidade e sigilo de dados na cláusula 11.13, tanto os cadastrais quanto os referentes aos registros de conexão. No Relatório de Sustentabilidade (pg. 37), a Oi promete divulgar tais dados às autoridades somente nas hipóteses legais e constitucionais de quebra de sigilo. Satisfaz assim o parâmetro I.

Contrato de banda larga: Cláusula 9. Além dos demais direitos previstos neste Contrato e dispostos entre os artigos 41 a 58 da Resolução n.º 614, de 28 de maio de 2013 bem como a Resolução Nº 632, de 7 de março de 2014 da ANATEL, no que tange ao serviço de comunicação multimídia da ANATEL, constituem-se direitos do ASSINANTE: (…) 9.9. Receber documento de cobrança com discriminação dos valores cobrados pela prestação do SERVIÇO BANDA LARGA DA OI, bem como ao respeito de sua privacidade nesses documentos e na utilização de seus dados pessoais pela Oi, salvas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações. (…) 11.13 Respeitar preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão. Relatório de Sustentabilidade (pág. 37): Os dados cadastrais e informações de comunicações telefônicas de clientes são divulgados somente às autoridades públicas nas hipóteses constitucionais e legais de quebra de sigilo de telecomunicações.

Quanto ao parâmetro II, a empresa o cumpre ao afirmar que os dados cadastrais que informem a qualificação pessoal, filiação e endereço do cliente podem ser enviados às autoridades administrativas que tenham competência legal para a sua requisição, sem identificá-las ou especificar as hipóteses legais que consideram cabíveis. Deixa de cumprir, assim, os parâmetros III e IV.

11.15. Fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição.

Nos documentos analisados, não há menção a hipóteses em que a empresa promove o compartilhamento de dados de localização, de maneira que não foi atendido o parâmetro V.

Finalmente, sobre o parâmetro VI, a Oi Banda Larga prevê no contrato que registros de conexão são disponibilizados apenas mediante ordem de um juiz. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados). Cumpre assim parcialmente o parâmetro VI.

11.14. Disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associado a dados pessoais ou a outras informações que, possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Oi Banda Larga obteve ½ estrela, pois atendeu ao parâmetro II.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas novas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. A Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações. O parâmetro não foi, por isso, atendido.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e foram efetivamente encontradas várias ações, nas quais a Oi questionou ordens judiciais de quebra de sigilo para fornecimento de dados pessoais de usuários, entre eles dados cadastrais, de localização (ERB), IPs, dentre outros. Observadas as razões de pedir das ações, constatou-se que as ordens judiciais determinando acesso a dados foram questionadas por serem amplas, genéricas, por carecerem de fundamentação idônea e individualizada, e por violarem a garantia constitucional à privacidade, intimidade e a proteção do sigilo de dados e das comunicações.

São elas: HC 2180050-94.2017.8.26.0000 (ordem judicial ampla e não específica); HC 2173266-04.2017.8.26.0000 (ordem judicial genérica e carente de fundamentação idônea); HC 2182623-71.2018.8.26.0000 (ordem judicial genérica e ampla); HC 2198244-45.2017.8.26.0000 (ordem judicial para fornecimento de senha de acesso, dados cadastrais e registros de ligações por 6 meses, por ser genérica, ampla, abranger tempo excessivo); HC 2028417-65.2019.8.26.0000 (ordem judicial para senha de acesso, dados cadastrais, registros de conexão e dados de localização, por ser genérica e carente fundamentação idônea a específica); HC 2077474-23.2017.8.26.0000 (ordem judicial genérica, ampla e prazo excessivo); HC 2050353-49.2019.8.26.0000 (ordem judicial genérica, e carente de fundamentação individualizada); HC 2011168-38.2018.8.26.0000 (ordem judicial genérica e carente fundamentação individualizada)

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Oi Banda Larga não obteve estrela nessa categoria.

Em algumas oportunidades ao longo do ano, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de os parâmetros não fossem atendidos. Interessa notar que, na pg. 51, do Relatório de Sustentabilidade da Oi, é afirmado que foi feito o acompanhamento de projetos de lei que tratavam da proteção de dados pessoais. Não se indica ou divulga, no entanto, posicionamentos ou manifestações associadas a tais projetos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Oi Banda Larga obteve estrela vazia, pois não atendeu ao parâmetro. Em seu Relatório de Sustentabilidade (pg. 37), a empresa limita-se a informar que dados cadastrais e demais informações são divulgados a autoridades públicas nas hipóteses autorizadas por lei. Não publica, no entanto, estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Oi Banda Larga não obteve estrela, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

OI – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A Oi Móvel obteve estrela vazia, pois atendeu a um parâmetro (dois parâmetros parcialmente atendidos).

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados, incluindo quais dados são coletados e em que situações a coleta ocorre.

Quanto ao parâmetro II, que diz respeito ao fornecimento de informações ou referências legais sobre uso e/ou tratamento de dados, incluindo os fins para os quais são utilizados e como se dá a utilização, considerou-se parcialmente atendido. Em seu contrato para a modalidade pós-paga, na cláusula 9.1-XIII, entre os direitos do assinante, a Oi estabelece parâmetros gerais. Não são especificados, no entanto, os tratamentos de dados ou as finalidades a que estão submetidos. Afirma-se apenas que “são usados para finalidades que justifiquem sua coleta”.

9.1 – XII. receber proteção dos seus dados, tanto os cadastrais quanto os referentes aos registros de conexão, os quais somente poderão ser utilizados para finalidades que: (i) justifiquem sua coleta; (ii) não sejam vedadas pela legislação e (iii) estejam especificados no presente contrato de prestação de serviços ou em regulamento de oferta (pós-pago).

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, quando/se são apagados. O item não foi considerado, por isso, atendido.

Na avaliação do parâmetro IV, considerado parcialmente atendido, constatamos que a empresa, em seu Relatório de Sustentabilidade (p. 6 a 37), afirma que a privacidade e segurança dos dados dos clientes são um de seus eixos de preocupação e assegura que toma medidas de segurança para proteger os dados dos clientes. Sua Política de Segurança da Informação, ademais, foi publicada no site. Ali, apesar de trazer como referências normas ISO de segurança da informação e apresentar algumas diretrizes e parâmetros a serem seguidos pelos funcionários da empresa, são enunciados parâmetros amplos e genéricos e não são disponibilizadas informações específicas sobre práticas adotadas com relação aos dados dos clientes, como, por exemplo, a segurança dos data centers, processos de anonimização, perfis e condições de acesso aos dados. A política é composta, sobretudo, de diretrizes e princípios gerais.

Contrato de Serviço Móvel Pessoal, entre as disposições gerais: 16.11. A Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão (pós-pago). Relatório de sustentabilidade, pg. 37: Ações de segurança das informações de clientes trafegadas na Companhia são baseadas nas normas legais aplicáveis e buscam definir padrões de tecnologia da rede e de conscientização da equipe, principalmente, nas áreas de negócio, tecnologia da informação e engenharia. O fluxo de aprovações avaliará a necessidade de o usuário ter acesso ou não ao grupo de informações trafegadas. A gestão da segurança da informação garante os requisitos mínimos de segurança em pesquisa e desenvolvimento de produtos, bem como nos testes anteriores à entrada em produção, e atua na disponibilização de informações de clientes. Estamos sempre avaliando melhorias em nossos processos internos, com o objetivo de aprimorar a segurança de dados de nossos clientes.

Quanto ao parâmetro V, isto é, quanto à transparência relacionada à comunicação, transferência, transmissão, distribuição ou difusão de dados a terceiros, incluindo informações sobre as circunstâncias em que isso aconteceria ou/e a necessidade de autorização do cliente, as informações disponíveis referem-se apenas ao acesso de autoridades, elemento avaliado na segunda categoria deste levantamento. O item não foi considerado, por isso, atendido.

Sobre o parâmetro VI, considera-se também que não foi atendido, uma vez que nenhum dos documentos analisados faz referência aos direitos dos consumidores sobre seus dados, nem oferecem mecanismos de contato com a Oi para exercício de tais direitos.

Por fim, não encontramos quaisquer ambientes no site da Oi, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que os contratos de Serviço Móvel Pessoal (SMP) na modalidade pós-paga e pré-paga estão facilmente acessíveis ao final da página de cada plano. A Política de Segurança da Informação, por sua vez, está publicada no site, mas não é de fácil acesso, sendo necessário acessar o botão “sobre a oi”, em seguida “empresas”, e depois “Política de Segurança da Informação”. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Oi Móvel obteve meia estrela, pois atendeu integralmente aos parâmetros I, II e parcialmente ao parâmetro VI.

Inicialmente, cumpre notar que, em comparação com avaliação empreendida no ano de 2018, foram observadas alterações relevantes, tanto nos contratos de banda larga, quanto nos contratos de Serviço Móvel Pessoal (SMP) na modalidade pós-paga. Essas alterações não foram, no entanto, observadas nos contratos de Serviço Móvel Pessoal (SMP) na modalidade pré-paga.

Na cláusula 16.11 do seu contrato de Serviço Móvel Pessoal na modalidade pós-paga, a Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão. No Relatório de Sustentabilidade (pg. 37), a Oi promete divulgar tais dados às autoridades somente nas hipóteses legais e constitucionais de quebra de sigilo. Satisfaz assim o parâmetro I.

Contrato de Serviço Móvel Pessoal, entre as disposições gerais:: 16.11. A Oi se compromete a respeitar a preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas no que tange ao sigilo de dados, tanto os cadastrais quanto os referentes aos registros de conexão; 16.12. A Oi se compromete a disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial. 16.13. A Oi se compromete a fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição. Relatório de Sustentabilidade (pg. 37): Os dados cadastrais e informações de comunicações telefônicas de clientes são divulgados somente às autoridades públicas nas hipóteses constitucionais e legais de quebra de sigilo de telecomunicações.

Quanto ao parâmetro II, a empresa o cumpre ao afirmar que os dados cadastrais somente serão enviados às autoridades administrativas que tenham competência legal para a sua requisição, sem, no entanto, identificá-las ou especificar as hipóteses legais que consideram cabíveis. Deixa de cumprir, assim, os parâmetros III e IV.

16.13. A Oi se compromete a fornecer dados cadastrais, sem a necessidade de prévia ordem judicial, apenas para autoridades administrativas que possuam competência legal para a requisição.

Nos documentos analisados, não há menção a hipóteses em que a empresa promove o compartilhamento de dados de localização, de maneira que não foi atendido o parâmetro V.

Finalmente, sobre o parâmetro VI, a Oi Móvel prevê no contrato que registros de conexão são disponibilizados apenas mediante ordem de um juiz. No entanto, o trecho não se restringe estritamente aos termos do Marco Civil da Internet (ou seja, não especifica que somente a data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado serão compartilhados). Cumpre assim parcialmente o parâmetro VI.

16.12. A Oi se compromete a disponibilizar os registros de conexão e de acesso a aplicações de internet, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Oi Móvel obteve ½ estrela, pois atendeu ao parâmetro II.

Quanto ao parâmetro I, em pesquisas no google, na mídia especializada (telesintese, teletime, sinditelebrasil) e no sítio eletrônico do Supremo Tribunal Federal, não foram encontradas novas ações, que tenham por objeto leis ou políticas detrimentais da privacidade e do sigilo das comunicações. A Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações. O parâmetro não foi, por isso, atendido.

Quanto ao parâmetro II, realizamos buscas exploratórias no site do Tribunal de Justiça do Estado de São Paulo e foram efetivamente encontradas várias ações nas quais a Oi questionou ordens judiciais de quebra de sigilo para fornecimento de dados pessoais de usuários, entre eles dados cadastrais, de localização (ERB), IPs, dentre outros. Observadas as razões de pedir das ações, constatou-se que as ordens judiciais determinando acesso a dados foram questionadas por serem amplas, genéricas, por carecerem de fundamentação idônea e individualizada, e por violarem a garantia constitucional à privacidade, intimidade e a proteção do sigilo de dados e das comunicações.

São elas: HC 2180050-94.2017.8.26.0000 (ordem judicial ampla e não específica); HC 2173266-04.2017.8.26.0000 (ordem judicial genérica e carente de fundamentação idônea); HC 2182623-71.2018.8.26.0000 (ordem judicial genérica e ampla); HC 2198244-45.2017.8.26.0000 (ordem judicial para fornecimento de senha de acesso, dados cadastrais e registros de ligações por 6 meses, por ser genérica, ampla, abranger tempo excessivo); HC 2028417-65.2019.8.26.0000 (ordem judicial para senha de acesso, dados cadastrais, registros de conexão e dados de localização, por ser genérica e carente fundamentação idônea a específica); HC 2077474-23.2017.8.26.0000 (ordem judicial genérica, ampla e prazo excessivo); HC 2050353-49.2019.8.26.0000 (ordem judicial genérica, e carente de fundamentação individualizada); HC 2011168-38.2018.8.26.0000 (ordem judicial genérica e carente fundamentação individualizada).

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A Oi Móvel não obteve estrela nessa categoria.

Em algumas oportunidades ao longo do período compreendido nesta pesquisa, as empresas provedoras de acesso à Internet tiveram a oportunidade de se manifestar sobre políticas públicas e projetos de lei que afetam a privacidade dos usuários. A tramitação da Medida Provisória n° 869, de 2018, no Congresso Nacional é exemplo desta oportunidade.

Após buscas em sites oficiais do governo, imprensa especializada e tradicional e salas de imprensa das empresas, não encontramos nenhum material nesse sentido, o que teve por consequência a avaliação de os parâmetros não fossem atendidos. Interessa notar que, na pg. 51, do Relatório de Sustentabilidade mais atualizado da Oi, é afirmado que foi feito o acompanhamento de projetos de lei que tratavam da proteção de dados pessoais. Não se indica ou divulga, no entanto, posicionamentos ou manifestações associados a tais projetos.

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A Oi Móvel obteve estrela vazia, pois não atendeu ao parâmetro. Em seu Relatório de Sustentabilidade (pg. 37), a empresa limita-se a informar que dados cadastrais e demais informações são divulgados a autoridades públicas nas hipóteses autorizadas por lei. Não publica, no entanto, estatísticas de pedidos, nem discrimina as autoridades responsáveis ou os fundamentos que apresentam.

CATEGORIA: Notificação do usuário

Resultado:

A Oi Móvel obteve estrela vazia, pois não há menção à notificação do usuário em nenhum dos documentos analisados.

TIM – Banda Larga

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A TIM Banda Larga obteve ¼ de estrela, pois atendeu parcialmente aos parâmetros II, IV e V, o que faz com que tenha atendido ao equivalente a 1,5 parâmetros.

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados. Por mais que o “Contrato de Prestação de Serviço de Comunicação Multimídia” estabeleça a “inviolabilidade do segredo de sua comunicação” e outras garantias legais, o InternetLab considerou tal redação genérica, cabendo diversos aperfeiçoamentos (conforme apontamentos abaixo).

Quanto ao parâmetro II (uso e tratamento de dados), a cláusula 3.1 (r) do referido contrato afirma que são obrigações da TIM zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologia necessários para assegurar este direito dos usuários. Na cláusula 4.2 (e), afirma que são direitos do cliente a inviolabilidade e o segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; no item (j) ressalta que a empresa respeita a privacidade dos usuários nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora.

“CONTRATO DE PRESTAÇÃO DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA – SCM 3.1. (r) observar o dever de zelar estritamente pelo sigiloinerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações do assinante, empregando todos os meios e tecnologianecessárias para assegurar este direito dos usuários; 4.2. Constituem direitos do CLIENTE: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; (j) o respeito de sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora; 12.5. O CLIENTE assume toda e qualquer responsabilidade pelas eventuais operações de compra e venda por meio virtual que impliquem emtransferência de informações sigilosas do CLIENTE e/ou de terceiros.”

Além disso, no Relatório de Sustentabilidade, afirma-se que o acesso aos cadastros e dados de comunicação dos usuários será permitido apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e que dados cadastrais e de comunicações telefônicas somente “serão compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.” No entanto, tais informações são fornecidas de maneira demasiado genérica. Por exemplo, seria esperado que se informasse especificamente ao menos quais dados são coletados e quais usos serão feitos destes. Assim, como não há informações completas sobre como a empresa utiliza e trata os dados coletados, o parâmetro II foi considerado apenas parcialmente atendido.

Relatório de Sustentabilidade 2018 (p.48): A Política de Privacidade de Dados de Clientes determina que: Somente colaboradores autorizados podem acessar as informações de cadastro e dados de comunicação dos clientes e em casos de situações específicas. (…)

Dados cadastrais e de comunicações telefônicas somente são compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, tampouco sobre quando e se são apagados. O item não foi considerado, por isso, atendido.

Quanto ao parâmetro IV, o Relatório de Sustentabilidade (p. 51), no âmbito da segurança, informa que a empresa segue as melhores práticas do mercado, de acordo com o ISO 27001 (apesar de não possuírem certificação). Como o relatório não se encontra facilmente acessível em seu site, exigindo esforço específico do cliente em encontrá-lo, e em seguida, inteirar-se da certificação mencionada, foi considerado cumprimento apenas parcial. Recomendaríamos a facilitação do acesso a essa informação, inclusive em compasso com o art. 16 do Decreto 8.771/2016, que exige, dessas informações, a “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

Quanto ao parâmetro V, considerado parcialmente atendido, a empresa informa em seu Relatório de Sustentabilidade que a utilização dos dados de comunicação e os cadastros dos usuários por terceiros será permitida apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e fornece algumas informações quanto ao compartilhamento de dados cadastrais e de comunicações telefônicas (vide trecho copiado acima). No entanto, sabe-se que o compartilhamento de dados com parceiros ou outras empresas de um mesmo grupo econômico é atividade comum e necessária para o funcionamento normal dos negócios de uma empresa de telefonia e internet, sendo insuficiente afirmar que estes serão somente acessados pelos colaboradores que precisarem de tais informações. A redação, demasiado genérica, seria aprimorada se fossem informados, por exemplo, quais funcionários têm acesso a quais dados, quais os limites específicos impostos aos compartilhamentos (p.ex., afirmando que os dados não serão vendidos para fins de marketing, ou coletando consentimento para tal) etc. Quanto aos dados entregues às autoridades públicas, igualmente a redação poderia ser aprimorada se se especificassem quais autoridades poderiam receber tais dados, por exemplo.

Sobre o parâmetro VI, considera-se também que não foi atendido, uma vez que nenhum dos documentos analisados faz referência aos direitos dos consumidores sobre seus dados, nem oferecem mecanismos de contato com a Tim para exercício de tais direitos.

Quanto ao último parâmetro, não encontramos quaisquer ambientes no site da Tim, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que o acesso aos principais documentos a disciplinar a relação entre cliente e provedor no que diz respeito ao tratamento e proteção de dados é simples. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Por fim, ressaltamos que a política de privacidade que se encontra em site, por referir-se a dados dos visitantes de seu site, não foi considerada para esse relatório, voltado mormente aos dados dos consumidores de serviços de telefonia e internet móvel e fixa. Foi analisado, no entanto, o Sustainability Report 2018 do grupo TIM, mas as informações lá contidas em relação ao Brasil não alteraram nossas conclusões conforme apontadas acima.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Tim Banda Larga obteve ¼ de estrela, pois atendeu ao parâmetro I.

A empresa afirma, na Cláusula 3.2 do Contrato de Prestação do Serviço de Comunicação Multimídia e na cláusula 4.2 do Contrato de Prestação do Serviços, a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações.

CONTRATO DE PRESTAÇÃO DO SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA – SCM: 3.2. Constituem direitos do CLIENTE todos aqueles estabelecidos no Regulamento do SCM e na legislação vigente, tais como: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação das pessoas com deficiência, nos termos da regulamentação; CONTRATO DE PRESTAÇÃO DE SERVIÇOS: 4.2. Constituem direitos do CLIENTE: (e) a inviolabilidade e ao segredo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e as atividades de intermediação da comunicação dos portadores de deficiência, nos termos da regulamentação; (g) unilateralmente pela TIM, caso seja constatada a utilização do serviço para prática de atos criminosos, notadamente crimes contra crianças e adolescentes previstos no Estatuto da Criança e do adolescente e demais legislações aplicável a espécie, resguardando o direito de a TIM buscar a eventual reparação por perdas e danos em face do CLIENTE caso tenha sido acionada por terceiros prejudicado, no âmbito de demandas cíveis oi criminais que suscitem a responsabilidade pela pratica de tais atos ofensivos, através do LIVE TIM, sendo, inclusive, facultado a TIM fornecer todos os dados cadastrais do CLIENTE as autoridades judiciais na forma da lei 12.965/2014 para apuração do ilícito e devida responsabilização do autor das ofensas.

No Relatório de Sustentabilidade, a empresa afirma ainda que as informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

Relatório de Sustentabilidade 2017 (p. 51): As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento.

Ela não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Tim Banda Larga obteve estrela cheia, pois atendeu aos dois parâmetros.

Quanto ao parâmetro I, na fase de engajamento, a TIM apresentou ao InternetLab movimentações processuais que comprovam sua atuação em casos em que considera que a interpretação da lei não protege a privacidade de seus usuários. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações, e não influenciou, portanto, neste resultado.

Quanto ao parâmetro II, a TIM igualmente apresentou ao InternetLab, na fase de engajamento, peças em que contesta por via judicial pedidos abusivos, comprovando a sua atuação em defesa da privacidade de seus clientes.

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A TIM banda larga obteve três quartos de estrela, pois atendeu aos parâmetros I e II integralmente e ao parâmetro IV parcialmente.

Na fase de engajamento, a TIM informou ao InternetLab que participou, em especial por intermédio de seu Data Protection Officer, Piero Formica, de diversos debates públicos onde defendeu a adoção de práticas favoráveis à privacidade de seus usuários (tendo sido atendido, portanto, o parâmetro I).

Em tais debates, tem defendido publicamente a adoção da nova Lei Geral de Proteção de Dados, inclusive de forma ativa, “não simplesmente fazendo o que a autoridade mandar”, razão pela qual considerou-se atendido o parâmetro II.

Quanto ao parâmetro III, por mais que a empresa tenha defendido um “novo conceito de ‘Internet ofTrust’”, não localizamos nos debates públicos em que participou a defesa específica da adoção de técnicas de segurança de dados e proteção do sigilo das comunicações, razão pela qual o parâmetro III não foi considerado atendido.

Por fim, quanto ao parâmetro IV, considera-se que foi parcialmente atendido. Isso porque a empresa, ao referir-se à GDPR, faz menção a parâmetros internacionais aos quais pretende adequar-se. No entanto, não o faz de forma direta, nem além do que seria exigido por uma interpretação protetiva da lei brasileira.

Dentre as participações públicas da empresa, ressaltamos as seguintes:

Piero Formica, diretor de compliance da TIM Brasil, enxerga a LGPD como uma oportunidade de transparência no relacionamento das prestadoras com seus clientes e parceiros. Mas ele destacou que o Brasil terá de fazer em meses o que foi feito na Europa em 20 anos, já que desde 1998 a região regula a relação entre dados pessoais e empresas de telecomunicações. “Tudo vai funcionar se conseguirmos conciliar o negócio com uma mudança de relacionamento com clientes, colaboradores, parceiros, governo”, afirmou. “A TIM criou uma área específica para cuidar de compliance, mas os departamentos de negócio, marketing, segurança, jurídico devem entender que também são atores”, completou. “Precisamos trabalhar juntos, interagir e não simplesmente fazer o que a autoridade mandar. Temos que definir juntos, montar fluxos para atuar. A LGDP é algo que não pode ser feita sozinha, nem dentro da organização, nem no mercado”, aconselhou, sugerindo que a lei no Brasil pode ser referência para o mundo. (fonte: https://sis-publique.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=50779&sid=4) Mário Girasole, vice-presidente de assuntos regulatórios da TIM, acredita que as operadoras de telecomunicações podem liderar um movimento de criação de um ambiente de confiança na Internet. “A verdadeira questão do big data não é brincar de analista de dados. As respostas que os dados podem dar são ilimitadas. O que é preciso é entender a demanda. E dentro disso temos a questão de não transformar o ‘social good’ em ‘private evil'”, disse ele. “O presidente do Facebook esteve no Congresso americano dizer ‘vazaram dados de 90 milhões de pessoas, mas sorry, fiz o que tinha que fazer, e da próxima vez vou fazer melhor’. Agora, imagine uma operadora de telecomunicações que acabe infringindo alguma questão dos direitos dos usuários, tome um processo e chegue na Anatel para dizer ‘sorry, eu fiz o que tinha que fazer’?”. Girasole concorda com o conselheiro que a questão da privacidade se torna cada vez mais um tema econômico, e por isso é preciso pensar em um novo conceito de “Internet of Trust”. (fonte: https://teletime.com.br/25/05/2018/teles-precisam-liderar-movimento-da-internet-of-trust-diz-girasole/)

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A TIM Banda Larga obteve um quarto de estrela, pois atendeu parcialmente ao parâmetro I.

A TIM publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e/ou atendidos. Mesmo assim, por publicar informações quanto ao número de ações judiciais em que está envolvida, considerou-se o parâmetro I como parcialmente atendido.

Relatório de Sustentabilidade 2018 (p. 48): “Em 2018, a Companhia esteve envolvida em 195 ações judiciais relacionadas à violação da privacidade de dados (apropriação das informações por terceiros devido à troca indevida de chip e consequente prejuízo ao cliente, material e/ou moral). Do total, 132 ainda se encontram em julgamento e 63 foram encerradas, sendo 19 com parecer favorável à TIM e 44 com pagamentos de indenizações pela TIM aos clientes.”

CATEGORIA: Notificação do usuário

Resultado:

A TIM Banda Larga não obteve estrela pois nos materiais analisados, não encontramos menção a mecanismos de notificação do usuário em casos de pedidos de autoridades do Estado.

TIM – MÓVEL

CATEGORIA: Informações sobre tratamento de dados

Resultado:

A TIM Móvel obteve ¼ de estrela, pois atendeu parcialmente aos parâmetros II, IV e V, o que faz com que tenha atendido ao equivalente a 1,5 parâmetros.

O parâmetro I não foi considerado atendido, pois a companhia não fornece informações ou referências legais claras sobre coleta de dados. Por mais que o “Contrato de Prestação do Serviço Móvel Pessoal Pré-pago” estabeleça a “inviolabilidade do segredo de sua comunicação” e outras garantias legais, o InternetLab considerou tal redação genérica, cabendo diversos aperfeiçoamentos (conforme apontamentos abaixo).

Para o parâmetro II, cabe citar a Cláusula 3.3.g do contrato para o plano pré-pago (mesmos termos da Cláusula 3.5.f do pós-pago), em que se afirma que é assegurado ao cliente direitos como inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses legais de quebra de sigilo e ressalvada a hipótese de disponibilização de informações, exclusivamente para fins estatísticos, fornecendo informações e referências legais sobre utilização dos dados.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PRÉ-PAGO (“CONTRATO”): 3.3 São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: g) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos. CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PÓS-PAGO (“CONTRATO”):3.5 f) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos.

Além disso, no Relatório de Sustentabilidade, afirma-se que o acesso aos cadastros e dados de comunicação dos usuários será permitido apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e que dados cadastrais e de comunicações telefônicas somente “serão compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.” No entanto, tais informações são fornecidas de maneira demasiado genérica. Por exemplo, seria esperado que se informasse especificamente ao menos quais dados são coletados e quais usos serão feitos destes. Assim, como não há informações completas sobre como a empresa utiliza e trata os dados coletados, o parâmetro II foi considerado apenas parcialmente atendido.

Relatório de Sustentabilidade 2018 (p.48): A Política de Privacidade de Dados de Clientes determina que: • Somente colaboradores autorizados podem acessar as informações de cadastro e dados de comunicação dos clientes e em casos de situações específicas. (…)

Dados cadastrais e de comunicações telefônicas somente são compartilhados com autoridades, de acordo com a legislação brasileira, e para o cumprimento de obrigações judiciais de interceptação telefônica.

No que se refere ao parâmetro III, a empresa não fornece informações ou referências legais claras sobre arquivamento, armazenamento e eliminação de dados, ou por quanto tempo e onde são armazenados, tampouco sobre quando e se são apagados. O item não foi considerado, por isso, atendido.

Quanto ao parâmetro IV, o Relatório de Sustentabilidade (p. 48), no âmbito da segurança, informa que a empresa segue as melhores práticas do mercado, de acordo com o ISO 27001 (apesar de não possuírem certificação). Como o relatório não se encontra facilmente acessível em seu site, exigindo esforço específico do cliente em encontrá-lo, e, em seguida, inteirar-se da certificação mencionada, foi considerado cumprimento apenas parcial. Recomendaríamos a facilitação do acesso a essa informação, inclusive em compasso com o art. 16 do Decreto 8.771/2016, que exige, dessas informações, a “divulgação clara e acessível, preferencialmente por meio de seus sítios da internet”.

Quanto ao parâmetro V, considerado parcialmente atendido, a empresa informa em seu Relatório de Sustentabilidade que a utilização dos dados de comunicação e os cadastros dos usuários por terceiros será permitida apenas aos colaboradores que precisem acessar tais informações para atividades profissionais, e fornece algumas informações quanto ao compartilhamento de dados cadastrais e de comunicações telefônicas (vide trecho copiado acima). No entanto, sabe-se que o compartilhamento de dados com parceiros ou outras empresas de um mesmo grupo econômico é atividade comum e necessária para o funcionamento normal dos negócios de uma empresa de telefonia e internet, sendo insuficiente afirmar que estes serão somente acessados pelos colaboradores que precisarem de tais informações. A redação, demasiado genérica, seria aprimorada se fossem informados, por exemplo, quais funcionários têm acesso a quais dados, quais os limites específicos impostos aos compartilhamentos (p.ex., afirmando que os dados não serão vendidos para fins de marketing, ou coletando consentimento para tal) etc. Quanto aos dados entregues às autoridades públicas, igualmente a redação poderia ser aprimorada se se especificassem quais autoridades poderiam receber tais dados, por exemplo.

Sobre o parâmetro VI, considera-se também que não foi atendido, uma vez que nenhum dos documentos analisados faz referência aos direitos dos consumidores sobre seus dados, nem oferecem mecanismos de contato com a Tim para exercício de tais direitos.

Quanto ao último parâmetro, não encontramos quaisquer ambientes no site da Tim, seja na página principal, seja nas páginas para contratação de serviços específicos, que apresentem informações sobre privacidade ou proteção de dados de forma acessível. Em vista disso, o parâmetro VII não foi considerado atendido.

De qualquer forma, enaltecemos o fato de que o acesso aos principais documentos a disciplinar a relação entre cliente e provedor no que diz respeito ao tratamento e proteção de dados podem ser acessados no fim da página de cada opção de serviço. O fácil acesso a essas informações, no entanto, não foi suficiente nesta edição do relatório para que o parâmetro VII fosse considerado atendido.

Por fim, ressaltamos que a política de privacidade que se encontra em site, por referir-se a dados dos visitantes de seu site, não foi considerada para esse relatório, voltado mormente aos dados dos consumidores de serviços de telefonia e internet móvel e fixa. Foi analisado, no entanto, o Sustainability Report 2018 do grupo TIM, mas as informações lá contidas em relação ao Brasil não alteraram nossas conclusões conforme apontadas acima.

CATEGORIA: Informações sobre condições de entrega de dados a agentes do Estado

Resultado:

A Tim Móvel obteve ¼ de estrela, pois atendeu ao parâmetro I.

A empresa afirma, na Cláusula 8.4 do plano pré-pago (mesmos termos na Cláusula 10.12 do plano pós-pago), dispensar tratamento sigiloso e confidencial aos dados e comunicações dos usuários em caso de determinação de autoridade competente.

CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PRÉ-PAGO (“CONTRATO”): 3.3 São assegurados ao CLIENTE os direitos estabelecidos no Regulamento do SMP, tais como: g) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos. 10.4 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente. CONTRATO DE PRESTAÇÃO DO SERVIÇO MÓVEL PESSOAL PÓS-PAGO (“CONTRATO”): 3.5. São assegurados ao CLIENTE os direitos estabelecidos na regulamentação do SMP e na legislação vigente, tais como: (…) f) inviolabilidade e sigilo de sua comunicação, respeitadas as hipóteses e condições constitucionais e legais de quebra de sigilo de telecomunicações e ressalvada a hipótese de disponibilização de informações, exclusivamente, para fins estatísticos. 10.12 A TIM dispensará tratamento sigiloso e confidencial aos dados e comunicações do CLIENTE, podendo disponibilizá-los em caso de determinação de autoridade competente.

No Relatório de Sustentabilidade, a empresa afirma ainda que as informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

Relatório de Sustentabilidade 2017 (p. 51): As informações acerca de dados cadastrais e comunicações telefônicas são fornecidas às autoridades permitidas por lei e no cumprimento de ordens judiciais de interceptação telefônica.

O InternetLab considera essa redação genérica, cabendo espaço para aperfeiçoamento.

Ela não esclarece ao usuário o fato de que dados cadastrais e registros de conexão possuem tratamento jurídico diferenciado. Neste sentido, é importante que a empresa informe claramente que registros de conexão somente podem ser entregues mediante ordem judicial, segundo o Marco Civil da Internet. No que se refere a dados cadastrais, essa mesma lei autoriza que sejam requisitados sem ordem judicial por autoridades administrativas competentes. Atualmente, entretanto, em face de controvérsia sobre quais são tais “autoridades administrativas competentes”, é imprescindível que a empresa seja transparente acerca de suas próprias interpretações da lei que aplica quando recebe pedidos de quebra de sigilo.

Como avisamos desde a primeira edição, nossa intenção é levar em consideração a especificação dessas diferenças, premiando empresas que prometem proteger os dados conforme as nuances existentes em lei, tornando públicas seus procedimentos e interpretações. Assim, é importante que a TIM informe clientes de modo mais claro que tipos de dados entrega e em que circunstâncias.

CATEGORIA: Defesa da privacidade dos usuários no Judiciário

Resultado:

A Tim Móvel obteve estrela cheia, pois atendeu aos dois parâmetros.

Quanto ao parâmetro I, na fase de engajamento, a TIM apresentou ao InternetLab movimentações processuais que comprovam sua atuação em casos em que considera que a interpretação da lei não protege a privacidade de seus usuários. O parâmetro foi considerado, portanto, atendido. Ressaltamos que a Ação Direta de Inconstitucionalidade (ADI) 5642, da ACEL, já foi considerada na última edição do QDSD e não registrou movimentações, e não influenciou, portanto, neste resultado.

Quanto ao parâmetro II, a TIM igualmente apresentou ao InternetLab, na fase de engajamento, peças em que contesta por via judicial pedidos abusivos, comprovando a sua atuação em defesa da privacidade de seus clientes.

Ressaltamos que, na edição do relatório no ano que vem, os parâmetros deste terceiro critério serão enrijecidos. Especificamente, somente será considerado, para atendimento integral dos parâmetros, o ajuizamento pelas empresas de peças processuais voluntárias – i.e., que a empresa poderia não ter produzido, tal como petições iniciais e recursos – dentro do período analisado.

CATEGORIA: Posicionamento público pró-privacidade

Resultado:

A TIM obteve três quartos de estrela, pois atendeu aos parâmetros I e II integralmente e ao parâmetro IV parcialmente.

Na fase de engajamento, a TIM informou ao InternetLab que participou, em especial por intermédio de seu Data Protection Officer, Piero Formica, de diversos debates públicos onde defendeu a adoção de práticas favoráveis à privacidade de seus usuários (tendo sido atendido, portanto, o parâmetro I).

Em tais debates, tem defendido publicamente a adoção da nova Lei Geral de Proteção de Dados, inclusive de forma ativa, “não simplesmente fazendo o que a autoridade mandar”, razão pela qual considerou-se atendido o parâmetro II.

Quanto ao parâmetro III, por mais que a empresa tenha defendido um “novo conceito de ‘Internet ofTrust’”, não localizamos nos debates públicos em que participou a defesa específica da adoção de técnicas de segurança de dados e proteção do sigilo das comunicações, razão pela qual o parâmetro III não foi considerado atendido.

Por fim, quanto ao parâmetro IV, considera-se que foi parcialmente atendido. Isso porque a empresa, ao referir-se à GDPR, faz menção a parâmetros internacionais aos quais pretende adequar-se. No entanto, não o faz de forma direta, nem além do que seria exigido por uma interpretação protetiva da lei brasileira.

Dentre as participações públicas da empresa, ressaltamos as seguintes:

Piero Formica, diretor de compliance da TIM Brasil, enxerga a LGPD como uma oportunidade de transparência no relacionamento das prestadoras com seus clientes e parceiros. Mas ele destacou que o Brasil terá de fazer em meses o que foi feito na Europa em 20 anos, já que desde 1998 a região regula a relação entre dados pessoais e empresas de telecomunicações. “Tudo vai funcionar se conseguirmos conciliar o negócio com uma mudança de relacionamento com clientes, colaboradores, parceiros, governo”, afirmou. “A TIM criou uma área específica para cuidar de compliance, mas os departamentos de negócio, marketing, segurança, jurídico devem entender que também são atores”, completou. “Precisamos trabalhar juntos, interagir e não simplesmente fazer o que a autoridade mandar. Temos que definir juntos, montar fluxos para atuar. A LGDP é algo que não pode ser feita sozinha, nem dentro da organização, nem no mercado”, aconselhou, sugerindo que a lei no Brasil pode ser referência para o mundo. (fonte: https://sis-publique.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=50779&sid=4) Mário Girasole, vice-presidente de assuntos regulatórios da TIM, acredita que as operadoras de telecomunicações podem liderar um movimento de criação de um ambiente de confiança na Internet. “A verdadeira questão do big data não é brincar de analista de dados. As respostas que os dados podem dar são ilimitadas. O que é preciso é entender a demanda. E dentro disso temos a questão de não transformar o ‘social good’ em ‘private evil'”, disse ele. “O presidente do Facebook esteve no Congresso americano dizer ‘vazaram dados de 90 milhões de pessoas, mas sorry, fiz o que tinha que fazer, e da próxima vez vou fazer melhor’. Agora, imagine uma operadora de telecomunicações que acabe infringindo alguma questão dos direitos dos usuários, tome um processo e chegue na Anatel para dizer ‘sorry, eu fiz o que tinha que fazer’?”. Girasole concorda com o conselheiro que a questão da privacidade se torna cada vez mais um tema econômico, e por isso é preciso pensar em um novo conceito de “Internet of Trust”. (fonte: https://teletime.com.br/25/05/2018/teles-precisam-liderar-movimento-da-internet-of-trust-diz-girasole/)

CATEGORIA: Relatório de transparência sobre pedidos de dados

Resultado:

A TIM Móvel obteve um quarto de estrela, pois atendeu parcialmente ao parâmetro I.

A TIM publica Relatório de Sustentabilidade sobre suas atividades no Brasil. Entretanto, o relatório não contém qualquer informação relacionada a pedidos de dados recebidos e/ou atendidos. Mesmo assim, por publicar informações quanto ao número de ações judiciais em que está envolvida, considerou-se o parâmetro I como parcialmente atendido.

Relatório de Sustentabilidade 2018 (p. 48): “Em 2018, a Companhia este