Marco Civil da Internet e cloud: o que o setor de TI deve saber

Mais do que um trâmite político, o Marco Civil da Internet pode afetar drasticamente a política de cloud computing de departamentos e empresas de TI no Brasil. Você já parou para pensar sobre isso? Nós já, e trouxemos essa reflexão para você neste artigo.

Aqui você conhecerá a relação entre Marco Civil da Internet e Cloud sob o ponto de vista corporativo. Verá quais são as principais polêmicas e como a falta de discussão sobre esse assunto dentro das organizações pode trazer sérios problemas.

A ideia é que, ao final da leitura, você tenha uma visão crítica deste importante passo que o governo brasileiro deu para garantir que a internet seja vista não mais como um meio tradicional de comunicação, mas como um recurso universal com regras próprias para garantir sua importância social. E, ainda, que tenha elementos para pensar nos impactos dele dentro do seu negócio.

O Marco Civil da Internet importa para o usuário comum, mas também para a indústria de TI baseada na web e, consequentemente, para quem coordena a tecnologia no dia a dia empresarial. As regras dele são claras em muitos aspectos, mas deixam a desejar em alguns outros pontos, como você verá a seguir.  

Continue lendo para entender como as novas regras sobre neutralidade, remoção de conteúdo, arquivamento de provas eletrônicas e uso de dados podem afetar provedores e contratantes de serviços de computação em nuvem! Bom aprendizado!

O que é o Marco Civil da Internet (MCI)

Vamos começar por entender o que é, afinal, o Marco Civil da Internet (MCI). Trata-se da lei n° 12.965, sancionada em 23 de junho de 2014, pelo governo Dilma Rousseff.

Conforme o texto oficial, ele “estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria”.

Em termos mais práticos, o CMI nada mais é do que a regulação do uso da Internet no país, tendo a neutralidade, a liberdade e a privacidade como norteadores para os usuários, provedores e também para o próprio Estado brasileiro.

Entenda a seguir:

Os três pilares do Marco Civil da Internet

Neutralidade

Esse pilar foi construído sob o objetivo de garantir que todo o conteúdo que trafega na web deve ser tratado de forma igual. Para o usuário, o que muda é que as empresas do ramo das telecomunicações não podem mais diminuir a velocidade da conexão que oferecem.

Ou seja, no caso de uso da rede para acessar conteúdos considerados “pesados”, como vídeos em HD e games, por exemplo, a navegação deve continuar com a mesma potência.

Para as empresas, a diferença é que elas poderão continuar vendendo planos de diferentes velocidades (diferentes recursos no caso de cloud), mas a legislação deixa mais claro que a qualidade do serviço oferecido não pode ser alterada conforme o que foi utilizado pelo consumidor.

Privacidade

O marco civil garante o total sigilo dos dados de comunicação propagados via web. O acesso a essas informações, por qualquer pessoa ou empresa, a partir dessa nova lei, só pode ser realizado mediante uma ordem judicial (juízes de qualquer instância). Logo, as companhias só podem usar dados para os propósitos pré-determinados no texto do MCI.

Além disso, as organizações fornecedoras de soluções na internet devem manter o registro de acesso de todos os seus usuários, por até seis meses, e deverão apresentá-los prontamente à justiça quando solicitado.

Liberdade de expressão

Todo e qualquer conteúdo (texto, imagem, áudio, vídeo) publicado pelas empresas ou usuários não pode mais ser excluído pelos provedores. Isso só é possível diante de uma liminar concedida pela justiça.

Assim, um usuário que se sentir ofendido por algum tipo de conteúdo — ou uma marca que acredita que seus direitos autorais foram desrespeitados — terá de procurar a Justiça. Não é mais possível solicitar a exclusão junto à empresa que disponibilizou ou armazenou os dados.

Também podemos dizer que o MCI é uma espécie de “Constituição do Brasil Virtual” que, como tal, dita as regras de como a grande rede deve ser utilizada sob os preceitos de liberdade de expressão e garantia de privacidade.

Ele é um caso único no mundo, elogiado, inclusive, por Tim Berners Lee, o britânico criador da World Wide Web — “é uma das legislações mais avançadas que existem e garante a liberdade na rede”, disse.

O Marco Civil da Internet e as empresas

Do ponto de vista do mundo corporativo — ou seja, das empresas de tecnologia da informação (TI) que fornecem internet e soluções baseadas nela, e também dos setores de TI que coordenam os fluxos de dados empresariais na rede —, o Marco Civil da Internet assume uma face um pouco mais complexa.

Dentre outras coisas, o texto legal estabelece que toda empresa deve manter o acesso à internet em suas redes auditado, à disposição das autoridades brasileiras, sob pena de responder criminalmente caso não possa prover essas informações dentro do prazo estabelecido e em total integridade.

Ou seja, todo ponto de internet brasileiro deve ser capaz de apontar qual foi a pessoa que acessou tal site ou aplicação em dado instante. E isso, ao mesmo tempo em que torna as regras mais claras, também pode representar desafios às organizações.

Principais impactos do MCI no mundo corporativo

Os pontos mais significativos em que o marco civil impacta nas organizações são os seguintes:

• O uso dos dados para fins de pesquisas de comportamento do consumidor, por exemplo, precisa seguir as regras estabelecidas;
• É preciso que as organizações criem uma política e encontrem formas de armazenar os logs de acesso a aplicações e serviços online para fins de atendimento à justiça;
• Há a necessidade de localizar as informações com rapidez em caso de solicitação por um juiz e também comprovar a temporalidade do armazenamento;
• Os consumidores precisam ter total clareza do que estão contratando, o que faz com que muitas empresas de tecnologia tenham que reformular as cláusulas contratuais firmadas antes do MCI. A ideia é tornar os serviços o mais transparente possível para evitar infringir o código de defesa do consumidor;
• O marco civil prevê a obrigatoriedade da utilização de códigos abertos para a construção de soluções para que as empresas de TI possam participar de licitações e pregões da administração pública (municipal, estadual e nacional);
• Fornecedores de serviços estrangeiros devem ter todo o seu conteúdo traduzido em português de uma forma clara e que não confunda os usuários;
• Empresas de e-commerce devem potencializar suas políticas, ferramentas e técnicas para garantir total privacidade dos dados compartilhados por seus clientes e usuários (transações financeiras, informações de cartão de crédito, histórico de compras, etc.) e torná-los o mais explícito e entendível possível para evitar que o código nacional de defesa do consumidor seja desrespeitado;
• Informações e arquivos em geral publicados na web só podem ser retirados do ar mediante autorização judicial — uma vez publicados, somente um juiz pode determinar a exclusão.

A relação do código civil com a cloud computing, que ganha cada vez mais espaço no Brasil, é um ponto que merece atenção — como veremos a seguir!

A relação entre Marco Civil da Internet e Cloud Computing

A cloud computing (computação em nuvem), como sabemos, é um modelo de computação no qual as empresas podem hospedar seus dados, processos e aplicações na infraestrutura de TI de um provedor (fornecedor de serviços de nuvem).

Nessa abordagem, a maioria dos recursos tecnológicos também podem ser adquiridos de forma virtualizada, como serviço, gerando vantagens como redução de custos, mobilidade, escalabilidade tecnológica, entre outras.

Ela já é amplamente adotada no Brasil. De acordo com a consultoria global Frost & Sullivan, até o final de 2017 as empresas nacionais deverão investir mais de US$ 1,1 bilhão nessa tecnologia. Isso nos coloca na vanguarda na América Latina e em destaque em todo o mundo.

O princípio da neutralidade e a nuvem

A cloud computing não existe sem a internet, certo? Um dos pontos interessantes do MCI versa sobre impedir diferenciação na qualidade e na velocidade do acesso em função do tipo de tráfego gerado, ou da aplicação acessada.

Simplificando, o marco civil determina que haja neutralidade na rede, que um fornecedor não possa diminuir os recursos oferecidos sem estar de acordo com as regras estabelecidas no país.  

O princípio da privacidade e a nuvem

Para garantir que casos de espionagem, como os revelados pelo ex-agente da CIA Edward Snowden, que gerou um incidente diplomático no Brasil, não se repitam — ou sejam mais difíceis de acontecer —, o CMI prevê que os provedores, que tenham data centers no país ou não, respondam aos seus princípios regulatórios.

Assim, em casos de litígios judiciais, fica garantido que a lei brasileira deve vigorar em detrimento de legislações estrangeiras. Ou seja, as empresas aqui estabelecidas não têm o direito de utilizar os dados de seus clientes, por exemplo, para fins não permitidos pelo marco civil.

O princípio da liberdade de expressão e a nuvem

O CMI também prevê que as empresas fornecedoras de serviços de internet, dentre elas os provedores de cloud, devem preservar os registros de acesso de seus clientes por até seis meses — e não podem utilizá-los para nada que não seja predeterminado no texto oficial.

Se a empresa não considerar isso e não tiver as informações para repassar à justiça quando solicitada (em um caso de uma investigação policial, por exemplo), poderá ser punida nos rigores da lei. Se descumprir o princípio da liberdade de expressão e os demais (neutralidade e privacidade), também terá de indenizar o consumidor que reclamar judicialmente.

Controvérsias do CMI em relação à cloud computing

Dentro disso, se o MCI estabelece que os dados de usuários poderão ser levantados a pedido da justiça brasileira, em tese, eles devem ser guardados em um servidor que cumpre a mesma legislação nacional — o que não acontece em servidores fora do Brasil, que deixam explícitos em seus contratos que seguem a legislação americana, por exemplo.

A controvérsia se dá na parte do texto em que o MCI diz promover “estímulo à implantação de centros de armazenamento, gerenciamento e disseminação de dados no país…”. Eis um conflito visível, especialmente para empresas que optam por contratar serviços de nuvem de grandes provedores internacionais.

Os provedores brasileiros de cloud computing também podem sentir dificuldades de oferecer seus serviços a organizações de outros países da América Latina, por exemplo, uma vez que as regras do CMI podem ir de encontro com o que é estabelecido por cada país da região.  

Em um artigo publicado no portal da revista Exame, Fernando de La Riva, um especialista brasileiro em negócios digitais, apontou algumas polêmicas que o marco civil trouxe e os desafios que elas oferecem às empresas e aos provedores de soluções na nuvem e demais serviços virtuais.

O executivo fez os seguintes destaques:

• Ameaça à privacidade: ele argumenta que, ao obrigar as empresas a manter os dados dos usuários por até seis meses, o governo faz com que elas tenham que se responsabilizar pela garantia de segurança das informações. Isso, segundo ele, “necessariamente, vai aumentar o custo desses serviços”;
• Elevação de preços de serviços de nuvem: investir em data centers em território nacional pode fazer com que os provedores elevem os preços. O livre mercado também está ameaçado, acredita de La Riva;
• Governo interferindo demais no assunto neutralidade: o executivo diz que é o mercado quem tem que se importar com qualidade de velocidade e outros pontos destacados no MCI como um princípio de neutralidade na rede. “Se o seu provedor tiver alguma política que você esteja em desacordo, você trocará de serviço até que ache algum que atenda aos seus interesses”, enfatiza.

Polêmica: órgãos públicos não exigem armazenamento de seus dados dentro do país

No início de 2016, um estudo realizado pela Universidade Federal Rural do Semi-Árido, do Rio Grande do Norte, detectou que dos 25 órgãos públicos que utilizam serviços de nuvem, 11 contratam fornecedores estrangeiros e têm suas informações armazenadas em data centers no exterior.

Da Comissão de Valores Imobiliários ao Ministério das Comunicações, passando pela Controladoria Geral da União, entre outros, boa parte das instituições contratam soluções de grandes players como Google, Microsoft e Embratel.

Por mais que o MCI não deixe claro a obrigatoriedade de armazenamento no país, ele sugere que as informações nacionais devem ser tratadas de acordo com o que foi estabelecido em seus preceitos. Isso abre margens de discussão também na iniciativa privada, já que o próprio governo não cumpre com o que está estabelecido no marco.     

Quando onshore vs. offshore não é mais uma questão

Com a validação do marco civil, a escolha por um servidor onshore (no país) ou fora (offshore) não é exatamente uma questão, mas uma escolha que deve ser tomada considerando os riscos perante o que está estabelecido na lei.

No tocante à territorialidade dos data centers, ou seja, onde eles estão fisicamente estabelecidos, o MCI não estabelece diretrizes claras — ao mesmo tempo em que determina que a justiça poderá solicitar os dados dos usuários a qualquer momento ao provedor.

Logo, implicitamente, fica sugerido que as informações devem estar em território nacional e sujeitos à legislação brasileira.  

Onshore

Assim, quando a empresa opta por contratar serviços de nuvem onshore, ou seja, de um fornecedor que está dentro do Brasil, a princípio, ela está respaldada pela regulação do Marco Civil da Internet.

Todas as cláusulas do contrato e o acordo de níveis de serviço (SLA) serão construídos conforme a legislação nacional, o que garante as proteções de privacidade, liberdade e neutralidade estabelecidos no texto.

Offshore

Por outro lado, contratar cloud de fornecedores com centro de dados em outro país (Estados Unidos, por exemplo), ou seja, offshore, pode ser arriscado. Ao menos é o que parece pelo que ficou estabelecido no texto do MCI.

Alguns fornecedores já se anteciparam e criaram data centers em território brasileiro, mas nem todos fizeram isso. Daí a importância de os gestores de tecnologia verificarem essa informação antes de começar as negociações com multinacionais de TI.

De qualquer forma, mesmo que a empresa opte por arriscar, é importante saber que o MCI estabelece que a qualidade de velocidade dos serviços não pode ser inferior aos padrões nacionais, o que pode ser motivo de solicitação de reparações em casos de latência e lentidão, por exemplo, inclusive em ações judiciais.

Diante disso, as organizações detentoras de data centers e que prestem serviços de cloud devem estar atentas ao marco civil na hora de criar suas ofertas e levá-las ao mercado. O mesmo ocorre com empresas que mantêm nuvens privadas em outros países e fornecem recursos para suas filiais no Brasil.

Na outra ponta, os gestores de TI que coordenam equipes de tecnologia devem conhecer bem o que o texto do CMI diz — e até o que ele não diz de forma clara — para evitar dores de cabeça na hora de contratar e utilizar soluções de computação em nuvem.

Já existem empresas e advogados especializadas em consultoria sobre cloud computing com base no marco civil. Em muitos casos, consultá-los pode ser uma ótima opção.  

Conclusão

Marco Civil da Internet e Cloud: conhecer a relação entre eles é mais importante do que pensamos até agora

Como vimos, o Marco Civil da Internet é uma lei que veio para regular o uso da web no Brasil. Ele está fundamentado em três pilares: liberdade de expressão, neutralidade e privacidade e tem, entre seus princípios, a preservação da estabilidade, da segurança e da funcionalidade da rede por meio de medidas técnicas compatíveis, padrões técnicos reconhecidos internacionalmente e a proteção dos dados pessoais na forma da lei.

Ao mesmo tempo em que estabelece a inviolabilidade das informações dos cidadãos brasileiros e o sigilo de suas comunicações, o marco civil traz alguns desafios para a iniciativa privada.  

Sobretudo no que diz respeito à computação em nuvem, uma vez que os provedores que não possuem data centers em território nacional devem se submeter à legislação do Brasil em relação à segurança dos dados e ao atendimento pronto a solicitações judiciais de compartilhamento de dados de seus clientes — entre outros pontos.

Por um lado, há os provedores, que precisam decidir se ter centros de dados no Brasil é interessante sob vários aspectos — as empresas brasileiras que prestam serviços a empresas estrangeiras também devem lidar com as barreiras que surgem pela falta de compatibilidade com as regras estabelecidas por outros governos.

Por outro, os departamentos de TI precisam conhecer todas as diretrizes do marco civil para decidir pela contratação nos modelos onshore ou offshore. Por mais que o assunto tenha perdido fôlego nos últimos tempos, discuti-lo dentro das empresas ainda é fundamental.

Alguns pontos do MCI geraram uma certa polêmica enquanto ele ainda era um projeto de lei tramitando no Congresso Nacional, mas depois, com o passar do tempo, a discussão esfriou. Algumas entidades de classe e especialistas discutem há algum tempo a necessidade de uma legislação específica para a computação em nuvem.

No entanto, ainda não há consenso sobre o tema e, com os últimos movimentos políticos no Brasil, ele acabou ficando em segundo plano. Acontece que o mercado de computação em nuvem se expandiu e chegou a empresas de todos os portes e em todos os segmentos de atuação, o que fez com que essa discussão voltasse à tona.

Melhor dizendo, a necessidade de pensar sobre os impactos do MCI nesse mercado, tanto do ponto de vista de quem oferece serviços quanto de quem adquire, continua latente.

Logo, empresários e gestores de tecnologia da informação devem se informar sobre as regras do marco civil e fazer a correlação com os impactos que elas podem trazer aos seus negócios.

Evitar correr riscos, por enquanto, é uma questão de estar bem informado e conversar com os potenciais fornecedores para saber como eles se posicionam sobre o tema antes de fechar qualquer contrato.    

E então? O que você achou da relação entre o Marco Civil da Internet e Cloud? Deixe seu comentário abaixo! Se você gostou deste artigo, compartilhe-o nas redes sociais para que mais pessoas tenham acesso a ele!