Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
A Anatel (Agência Nacional de Telecomunicações) divulgou a versão final da minuta de resolução sobre regulamento de segurança cibernética que será aplicada ao setor, aprovada no dia 17 de dezembro de 2020. A resolução entrará em vigor no dia 4 de janeiro de 2021, e as prestadoras deverão se adequar em até 180 dias contados da sua entrada em vigor.
O objetivo é estabelecer condutas e procedimentos para a promoção da segurança nas redes e nos serviços de telecomunicações. As empresas devem elaborar, implementar e manter política de segurança cibernética, a qual deve, no mínimo, contemplar os seguintes pontos e diretrizes: i) objetivos de segurança cibernética da empresa; ii) normas e padrões, nacionais e internacionais, e referências de boas práticas em segurança cibernética; iii) procedimentos para a disseminação da cultura de segurança cibernética e capacitação dentro da empresa; iv) plano de ação com medidas para conscientização e educação de seus usuários sobre aspectos de segurança cibernética; v) procedimentos relativos ao armazenamento seguro dos dados dos seus usuários, nos termos da legislação e regulamentação; vi) incentivar a adoção de conceitos de security by design e privacy by design no desenvolvimento e na aquisição de produtos e serviços no setor de telecomunicações, entre outras determinações elencadas nos artigos 5º e 14 da resolução mencionada.
Abrangência da resolução
O regulamento se aplica a todas as prestadoras de serviços de telecomunicações de interesse coletivo, com exceção das de pequeno porte.
Vale destacar, no entanto, que, independentemente do porte, todas as prestadoras de serviços de telecomunicações, de interesse coletivo ou restrito, bem como as demais pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e dos serviços de telecomunicações, devem observar, entre outros, os seguintes princípios:
– Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por determinada pessoa física, equipamento, sistema, órgão ou entidade;
– Confidencialidade: visa assegurar que a informação não esteja disponível ou não seja revelada a pessoa, sistema, órgão e entidade não autorizados nem credenciados;
– Disponibilidade: o objetivo é assegurar que a informação esteja acessível e utilizável sob demanda por uma pessoa física e por determinado sistema, órgão ou entidade devidamente autorizados;
– Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; e
– Interoperabilidade: característica que se refere à capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente.
Fica evidente a relação com a LGPD (Lei Geral de Proteção de Dados Pessoais), que entrou em vigor no dia 18 de setembro de 2020. Entre outros pontos de contato, destacamos o privacy by design, por meio do qual os serviços e produtos devem ser idealizados em consonância com o respeito à privacidade e aos direitos dos titulares dos dados. O mesmo raciocínio se aplica ao security by design, com o desenvolvimento, desde a etapa de concepção dos produtos ou serviços, de mecanismos de segurança que garantam a confidencialidade das informações pertencentes aos titulares dos dados.
Incidente de segurança
Por incidente, ainda de acordo com a minuta da resolução, deve ser considerado “evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por período inferior ao tempo objetivo de recuperação”.
Como dever da prestadora, os artigos 9º e 17 estabelecem que ela deve notificar a Anatel e comunicar às demais prestadoras e aos usuários, conforme o caso e sem prejuízo de outras obrigações legais de comunicação, os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários. A notificação do incidente relevante deve incluir análise de causa e do impacto, bem como ações de mitigação adotadas, conforme o caso.
Cabe observar, portanto, conforme o texto aprovado, que continuam obrigatórios outros deveres de comunicação previstos no ordenamento jurídico, como o da LGPD, a respeito da notificação à ANPD (Autoridade Nacional de Proteção de Dados) de incidente de segurança que cause risco ou dano relevante aos titulares dos dados.
Sanções
O não atendimento ao regulamento, de acordo com a minuta da resolução, sujeita o infrator às sanções administrativas previstas na Lei nº 9.472/1997, sendo elas as seguintes: advertência, multa, suspensão, caducidade e declaração de inidoneidade, conforme artigo 173.
