No dia 04 de abril de 2018, o InternetLab realizou coletiva de imprensa para lançar a terceira edição do projeto “Quem Defende Seus Dados?” – QDSD?, versão brasileira da pesquisa estadunidense “Who has your back?”, feito em parceria com a Electronic Frontier Foundation – EFF. A coletiva ocorreu durante um almoço no Terraço Itália e contou com a presença de jornalistas, pesquisadores da área de telecomunicações e proteção de dados, além de representantes de algumas das empresas avaliadas. O objetivo do projeto continua sendo avaliar o compromisso público das maiores empresas provedoras de acesso à Internet no Brasil com a proteção dos dados de seus clientes.

Primeiramente, foi feita uma apresentação sobre o projeto e a importância desse tipo de pesquisa no contexto atual pelo diretor Dennys Antonialli. Em seguida, os resultados do relatório de 2018 foram apresentados por pesquisadoras do InternetLab. Depois disso, jornalistas e convidados puderam esclarecer dúvidas com a equipe do InternetLab envolvida no projeto.

Uma das principais mudanças quanto aos anos anteriores foi o número de empresas avaliadas. Escolhemos as empresas que, segundo dados divulgados pela ANATEL em maio de 2017, possuíam individualmente ao menos 1% do total de acessos à Internet no Brasil. Nessa edição, foram avaliadas: NET, Oi (banda larga e Internet móvel), Vivo (banda larga e Internet móvel), Claro, TIM (banda larga e Internet móvel), Algar (banda larga), Nextel (Internet móvel) e Sky (banda larga). Anteriormente, considerávamos apenas as que possuíam mais que 10% da distribuição de acessos; Algar, Nextel e Sky foram incluídas após essa reformulação.

As seis categorias e parâmetros de avaliação foram elaborados com base nas seguintes expectativas: (i) comprometimento público com obediência à lei; (ii) adoção de práticas e posturas pró-privacidade do usuário; (iii) transparência sobre as práticas e políticas adotadas. Todas as categorias foram adaptadas à realidade jurídica brasileira. A metodologia de avaliação foi, já pelo terceiro ano, compartilhada com as empresas, que puderam enviar comentários, críticas e sugerir ajustes. Destacamos reajuste nos parâmetros da categoria 2 que serviram para trazer mais objetividade à avaliação e melhor alinhá-la a objetivos de transparência.

Principais resultados:

Parâmetro 1. Informa sobre tratamento de dados?

Apenas uma empresa recebeu categoria cheia porque fornece informações claras e completas sobre a forma como trata dados dos clientes. Para as demais, há diversos aspectos que precisam ser aperfeiçoados; no geral, as empresas ainda disponibilizam pouca informação sobre tratamento de dados. A Oi, durante a fase de engajamento, assinalou que vai passar a oferecer maiores informações em seus contratos a partir de Maio de 2018, e isso, se efetivamente se concretizar, será levado em consideração no próximo ano (consideramos documentos públicos até março de 2018). Em poucos casos, percebemos piora no desempenho se comparado a outros anos, principalmente em razão da alteração da redação de contratos.

O destaque foi para a Vivo que, no último ano, desenvolveu um “Centro de Privacidade“, com uma detalhada seção de perguntas e respostas e vídeo informativo, em que sucintamente explica como trata dados de seus clientes.

Parâmetro 2. Informa sobre as condições de entrega de dados a agentes do Estado?

Neste parâmetro, avaliamos se as empresas são transparentes sobre as condições em que entregam dados cadastrais e registros de conexão a autoridades estatais, bem como se adotam interpretações pró-usuário quando diante de legislações ambíguas – como os limites nem sempre estão claros em lei, é importante que as empresas informem que interpretações e procedimentos adotam.

A maior parte das empresas opta por fornecer informações genéricas sobre a forma como processam pedidos de quebra de sigilo, simplesmente colocando que observam a Constituição e demais leis aplicáveis. Esse ano, apenas a Vivo se esforçou em fornecer informações aos seus clientes nesse sentido em seu informe de Transparência de Comunicações.

Parâmetro 3. Defende a privacidade dos usuários no judiciário?

Nessa categoria, além da pesquisa independente do InternetLab, contamos com o engajamento das empresas para nos enviarem exemplos de ações judiciais nas quais contestaram pedidos de dados abusivos. A Claro e a Oi foram as únicas empresas que receberam estrela cheia nessa categoria, visto que foram os únicos casos nos quais conseguimos encontrar evidências empíricas de que desafiam judicialmente pedidos que consideram abusivos (ou seja, que a seu ver extrapolam os limites e autorizações previstas em lei).

Apesar de termos contado com o engajamento de algumas empresas, houve maior resistência no compartilhamento de informações sobre ações judiciais do ano de 2017/2018. Por isso, o desempenho de algumas caiu em relação aos anos anteriores.

Parâmetro 4. Adota posicionamento público pró-privacidade?

Os parâmetros desta categoria mudam de edição a edição e sempre buscamos avaliar processos participativos que ocorrem no ano do projeto. Para a edição de 2018, solicitamos a todas as empresas que nos enviassem documentos que comprovassem sua participação pública, em nome próprio (ou seja, não consideramos as participação das empresas via órgãos de classe nessa categoria), em qualquer evento que tenham discutido questões ligadas à privacidade.

A maior oportunidade de participação de 2018 foi a consulta “Estratégia Brasileira para a Transformação Digital”, promovida pelo Ministério da Ciência, Tecnologia e Inovações e Comunicações. As contribuições das empresas não estavam públicas (apesar de a consulta ser pública) e, novamente, dependemos da cooperação e do envio da participação. No geral, as empresas defenderam a adoção de padrões de segurança internacionais para proteção de dados, mas nenhuma defendeu explicitamente a criação de uma lei de proteção de dados pessoais para o setor privado.

Parâmetro 5. Publica relatório de transparência sobre pedidos de dados?

Nessa edição, consideramos apenas aquelas empresas que publicassem relatório de transparência o qual contivesse informações e estatísticas sobre pedidos de dados pelo governo – até o ano passado, a mera indicação em relatórios de que a empresa coopera com autoridades estatais já pontuava parcialmente; não mais (já que esse aspecto já é avaliado na categoria 2).

Assim, a única empresa que pontuou foi a Vivo, pois a Telefônica publicou uma nova edição do informe de Transparência de Comunicações (em espanhol), o qual informa a quantidade de pedidos de dados recebidos em cada país em que está presente entre 2013 e 2016. Acreditamos que esse relatório poderia ser uma prática mais difundida entre as outras empresas e deve ser disponibilizado em português de forma acessível a usuários brasileiros.

Parâmetro 6. Notifica usuários sobre pedidos de dados?

Desde o ano passado, essa categoria foi incorporada como normal e não mais como “bônus”. Apesar de não ser uma obrigação legal para as empresas, acreditamos que é possível notificar os usuários em caso de processo civil e administrativo e pode ser uma ferramenta muito importante para que os usuários possam ter oportunidade de se defenderem contra abusos e/ou de esclarecerem circunstâncias de um acontecimento.

Nenhuma empresa pontuou nessa categoria, apesar da Vivo ter informado em seu site que não notifica os clientes caso seus dados sejam requeridos por entidades estatais.

Observações Gerais

É importante reforçar que toda a metodologia do projeto é adaptada à realidade jurídica do Brasil. Ao decorrer do projeto, recebemos feedback e informações adicionais de algumas empresas e, assim, ajustamos outros pontos da metodologia para a divulgação final. Também relevante dizer que algumas empresas, apesar de terem colaborado com o projeto, possuem pontos de discordância com a metodologia e objetivos do projeto.

Para os próximos anos e avaliações, o InternetLab convida as empresas a elaborarem políticas de privacidade mais claras, não necessariamente em seus contratos – vide o exemplo da Vivo, que criou uma seção especial em seu site sobre privacidade -, que informem usuários sobre o tratamento conferido a dados cadastrais e registros de conexão, nos termos do Marco Civil da Internet, e as formas como lida com ordens judiciais e requisições administrativas para entrega de dados. Também encoraja as empresas a utilizarem suas “salas de imprensa” em seus websites para elencarem suas ações em defesa da privacidade e proteção de dados no Judiciário e em debates públicos. Por fim, também incentiva as empresas a publicarem relatórios de transparência com estatísticas sobre pedidos de dados, prática já comum no âmbito de algumas empresas internacionais, e a adotarem práticas de notificação de usuário.

O relatório completo (de 2018 e dos anos anteriores) pode ser encontrado em: http://quemdefendeseusdados.org.br/pt/ (em português) ou http://quemdefendeseusdados.org.br/en/ (em inglês).

Matérias na imprensa

[televisão- SBT] Falta de privacidade na internet vem assustando os usuários

[Folha de S. Paulo] NET é pior empresa em ranking de respeito à privacidade de clientes

[Meio e Mensagem] Internet Lab mostra como as teles tratam os dados de clientes

[Telesintese] Vivo é empresa mais transparente quanto ao uso de dados dos clientes, aponta estudo

[Teletime] Operadoras ainda são tímidas em relação às políticas de dados

[Estadão] Vivo é operadora que mais se compromete com privacidade de usuários, diz estudo

[TI Inside] Pesquisa aponta vivo como operadora com mais políticas de tratamento de dados

[Vice – Motherboard] Provedores de acesso à internet estão cagando pra sua privacidade

[Veja] Net é a pior empresa em ranking de proteção de dados dos clientes

[O Globo] Pelo segundo ano, NET tem pior desempenho em relatório sobre transparência de dados

[Gazeta do Povo] Net é a pior empresa em ranking de respeito à privacidade de clientes, diz pesquisa

[O Tempo] Net é mal avaliada em pesquisa

[Minha operadora] Pelo segundo ano, NET tem pior desempenho em relatório sobre transparência de dados