SEI/ANATEL - 7963655

Interessado: CLARO S.A., TELEFONICA BRASIL S.A., OI S.A. - EM RECUPERACAO JUDICIAL, TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS, TIM S.A., ALGAR TELECOM S.A.

Recursos Administrativos interpostos por CLARO S.A., TELEFÔNICA BRASIL S.A., OI S.A. - EM RECUPERAÇÃO JUDICIAL, TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS, TIM S.A. e ALGAR TELECOM S.A. em face do Despacho Decisório nº 229/2021/COGE/SCO (SEI nº 7191384), que remeteu à Superintendência de Planejamento e Regulamentação (SPR) as contribuições relativas às discussões realizadas no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber).

REGULAMENTO DE SEGURANÇA CIBERNÉTICA APLICADA AO SETOR DE TELECOMUNICAÇÕES (R-CIBER). GRUPO TÉCNICO DE SEGURANÇA CIBERNÉTICA E GESTÃO DE RISCOS (GT-CIBER). PRESTADORAS DE PEQUENO PORTE (PPP). INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES (ICT). recursos administrativos. CONHECIMENTO. não provimento.

É de competência do Conselho Diretor a edição de normativo que inclua ou exclua, de maneira total ou parcial, obrigações previstas pelo R-Ciber, nos termos do §2º do art. 2º do R-Ciber.

Cabe ao Superintendente Coordenador do R-Ciber a decisão sobre temas não consensuais quando da promoção das discussões, em especial quando do atendimento dos dispositivos b1.1 e b1.2 do Acórdão nº 692 (SEI nº 6357283).

Todas as prestadoras de serviços de telecomunicações devem atender aos princípios e diretrizes elencados pelos art. 4º e 5º do R-Ciber, não estando nenhum agente isento de atuação responsável e diligente em relação a suas redes e usuários.

Regimento Interno da Anatel (RIA), aprovado pela Resolução nº 612, de 29 de abril de 2013.

Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020 (R-Ciber).

Processo n.º 53500.057799/2021-74, proposta de Instrução Normativa do Conselho Diretor da Anatel (Consulta Pública nº 63/2021).

Tratam-se de recursos administrativos frente ao Despacho Decisório nº 229/2021/COGE/SCO (SEI nº 7191384), decorrente das discussões promovidas pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), em atendimento aos itens b.1.1 e b.1.2 do Acórdão nº 692, de 21 de dezembro de 2020, no contexto do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020 (R-Ciber).

Em 21 de dezembro de 2020, o Conselho Diretor da Anatel, por unanimidade, proferiu o Acórdão nº 692 (6357283), no âmbito do Processo SEI nº 53500.078752/2017-68, nos termos abaixo relacionados:

Vistos, relatados e discutidos os presentes autos, acordam os membros do Conselho Diretor da Anatel, nos termos da Análise nº 31/2020/MM (SEI nº 5233452), com os acréscimos e ajustes propostos pelo Presidente Leonardo Euler de Morais por meio do Voto nº 87/2020/PR (SEI nº 5963564), ambos integrantes deste acórdão:

a.1) da Resolução que altera o Regulamento dos Serviços de Telecomunicações, nos termos da Minuta de Resolução PR (SEI nº 5963805);

a.2) da Resolução que aprova o Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública, nos termos da Minuta de Resolução PR (SEI nº 5963838); e,

a.3) da Resolução que aprova o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, nos termos da Minuta de Resolução PR (SEI nº 5963841); e,

b.1) o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), no prazo de 150 (cento e cinquenta) dias contados da sua instauração:

b.1.1) remeta à Superintendência de Planejamento e Regulamentação (SPR) contribuições à minuta de Resolução com proposta de incluir ou dispensar, total ou parcialmente, da incidência das obrigações em segurança cibernética outros agentes do setor de telecomunicações ainda não abrangidos pelo Regulamento; e,

b.1.2) paralelamente, avalie a viabilidade de modelagem complementar à estrutura prevista no Regulamento com vistas à constituição de entidade, ou designação de ente já existente, para creditação de conformidade em boas práticas de segurança cibernética, e, se entender pertinente, proponha as características de sua estruturação, financiamento e relacionamento com a Anatel; e,

b.2) a Superintendência de Planejamento e Regulamentação (SPR), no prazo de 90 (noventa) dias contados do recebimento dos subsídios mencionados na alínea “b.1”, promova as instruções complementares que julgar pertinentes e submeta uma proposta ao Colegiado, após oitiva da Procuradoria Federal Especializada junto à Anatel.

A decisão foi por unanimidade, com exceção da redação do § 1º do art. 2º e do inciso II do art. 24 da Minuta de Resolução PR (SEI nº 5963841), constante da alínea “a.3” acima, em que a decisão foi por maioria de quatro votos. Neste ponto, votou vencido o Conselheiro Moisés Queiroz Moreira, nos termos do Voto nº 19/2020/MM (SEI nº 6348181), também integrante deste acórdão.

Participaram da deliberação o Presidente Leonardo Euler de Morais, os Conselheiros Carlos Manuel Baigorri, Emmanoel Campelo de Souza Pereira e Moisés Queiroz Moreira e o Conselheiro Substituto Abraão Balbino e Silva. (destaques não presentes no original)

Ato contínuo, proferiu-se o Despacho Ordinatório SCD (SEI nº 6357482), que determinou que:

a) o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), no prazo de 150 (cento e cinquenta) dias contados da sua instauração:

a.1) remeta à Superintendência de Planejamento e Regulamentação (SPR) contribuições à minuta de Resolução com proposta de incluir ou dispensar, total ou parcialmente, da incidência das obrigações em segurança cibernética outros agentes do setor de telecomunicações ainda não abrangidos pelo Regulamento; e,

a.2) paralelamente, avalie a viabilidade de modelagem complementar à estrutura prevista no Regulamento com vistas à constituição de entidade, ou designação de ente já existente, para creditação de conformidade em boas práticas de segurança cibernética, e, se entender pertinente, proponha as características de sua estruturação, financiamento e relacionamento com a Anatel; e,

b) a Superintendência de Planejamento e Regulamentação (SPR), no prazo de 90 (noventa) dias contados do recebimento dos subsídios mencionados na alínea “a”, promova as instruções complementares que julgar pertinentes e submeta uma proposta ao Colegiado, após oitiva da Procuradoria Federal Especializada junto à Anatel.

Nessa esteira, em 1º de março de 2021, nos autos do Processo nº 53500.009419/2021-95, inaugurou-se o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), com proposta de criação de dois grupos ad hoc específicos em atendimento às alíneas "a.1" e "a.2" do Despacho Ordinatório SCD 6357482.

Em 30 de julho de 2021, o Superintendente de Controle de Obrigações (SCO) da Agência Nacional de Telecomunicações expediu o Despacho Decisório nº 229/2021/COGE/SCO (SEI 7191384), pelo qual remeteu à Superintendência de Planejamento e Regulamentação (SPR) o andamento das discussões e razões apresentadas pelos subgrupos ad hoc 1 e 2:

O SUPERINTENDENTE DE CONTROLE DE OBRIGAÇÕES DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso de suas atribuições legais e regulamentares, em especial a designação constante da Portaria Anatel nº 1.878, de 30 de dezembro de 2020, e a disposta no art. 24, § 5º, do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020,

CONSIDERANDO as discussões realizadas no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber);

CONSIDERANDO as razões apresentadas pelos membros do Subgrupo Ad Hoc 01 - Agentes contidas no Relatório do Subgrupo 01 (SEI n.º 7168767);

CONSIDERANDO as razões apresentadas pelos membros do Subgrupo Ad Hoc 02 - Entidade contidas no Relatório do Subgrupo 02 (SEI n.º 7168839);

a) remeter à Superintendência de Planejamento e Regulamentação (SPR) as contribuições à minuta de Resolução contidas no Informe nº 200/2021/COGE/SCO para as providências decorrentes e previstas no Acórdão n.º 692, de 21 de dezembro de 2020;

b) dar ciência ao Conselho Diretor da Agência do cumprimento pelo GT-Ciber das previsões contidas no item b.1 e subitens do Acórdão n.º 692;

Diante da decisão, foram apresentados os recursos adiministrativos de CLARO S.A. (SEI n.º 7256114), TELEFÔNICA BRASIL S.A. (SEI n.º 7256387), TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS (SEI n.º 7281014), TIM S.A. (SEI n.º 7317915) e ALGAR TELECOM S.A. (SEI n. 7319322). A OI S.A. - EM RECUPERAÇÃO JUDICIAL impetrou Recurso com pedido de efeito suspensivo (SEI nº 7268965).

Em 3 de setembro de 2021, por meio do Despacho Decisório nº 266/2021/COGE/SCO (SEI nº 7300539), o Coordenador do GT-Ciber decidiu pelo conhecimento de todos os Recursos Administrativos supracitados.

Em 13 de outubro de 2021, o Presidente da Anatel decidiu, por meio do Despacho Decisório nº 51 (7388280), denegar o pedido de concessão de efeito suspensivo da OI, por não vislumbrar os pressupostos previstos no § 2º do art. 122 do Regimento Interno da Anatel.

Em 22 de dezembro de 2021, a SOR encaminhou Matéria para Apreciação do Conselho Diretor nº 848/2021 (SEI nº 7839166), acompanhada do Informe nº 533/2021/COGE/SCO (SEI nº 7809992).

Em 23 de dezembro de 2021, a Matéria foi distribuída para minha relatoria, conforme consta em Certidão de Distribuição SCD (SEI nº 7847522).

O Regimento Interno da Anatel, aprovado pela Resolução nº 612/2013, indica as situações em que os recursos não serão conhecidos:

Art. 116. O recurso, dentre outras hipóteses, não será conhecido quando interposto:

Quanto à tempestividade, o Regimento Interno da Anatel (RIA), aprovado pela Resolução nº 612/2013, aponta para o prazo para interposição de recurso em até 10 (dez) dias, a partir da intimação do interessado:

Art. 115. Das decisões da Agência, quando não proferidas pelo Conselho Diretor, cabe interposição de recurso administrativo por razões de legalidade e de mérito, independentemente de caução.

§ 6º Será de 10 (dez) dias o prazo para interposição de recurso administrativo, contado a partir da intimação do interessado.

A admissibilidade dos Recursos apresentados por TIM, TELEFÔNICA, CLARO, OI, ALGAR e TELCOMP foi devidamente analisada por meio do Despacho Decisório nº 266/2021/COGE/SCO (7388280), que reconheceu a presença dos requisitos de tempestividade, legitimidade e interesse recursal. Em linha de tal entendimento, concordo com a decisão do SCO, no sentido de conhecer tais petições, nos termos do RIA.

Conforme relatado anteriormente, os recursos em análise surgem diante do Despacho Decisório nº 229/2021/COGE/SCO (SEI 7191384), pelo qual se remeteu à Superintendência de Planejamento e Regulamentação (SPR) o andamento das discussões e razões apresentadas pelos subgrupos ad hoc 1 e 2.

Tais grupos foram instituídos no contexto da aprovação do R-Ciber, ocasião na qual o Conselho Diretor, por meio do Acórdão nº 692 (6357283) e do Despacho Ordinatório SCD (SEI nº 6357482), julgou como pertinente a avaliação do GT-Ciber sobre: (a) ampliar a incidência de obrigações regulamentares do R-Ciber sobre outros agentes da cadeia dos serviços de telecomunicações; e (b) criar entidade para creditação de conformidade em boas práticas de segurança cibernética.

Dessa maneira, após o encaminhamento do Despacho Decisório nº 229/2021, a SPR, nos autos do Processo n.º 53500.057799/2021-74, encaminhou Matéria para Apreciação do Conselho Diretor nº 53 (SEI 7960110), na qual apresentou proposta que culminou na aprovação da Consulta Pública nº 63/2021 (SEI 7828346). Ressalto que tal Consulta ainda se encontra aberta para recebimento de contribuições, tendo sido prorrogada até 21 de março de 2022 por meio do Acórdão nº 12/2022 (7994090).

Para melhor compreensão, resgatarei brevemente os principais pontos relacionados ao encaminhamento decidido pelo Coordenador do GT-Ciber, na figura do Superintendente de Controle de Obrigações. Inicialmente, nota-se que, nos termos do R-Ciber, as deliberações não consensuais do GT-Ciber cabem ao Coordenador do grupo:

Art. 24. Fica constituído o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), com as seguintes atribuições, entre outras estabelecidas neste Regulamento:

§ 5º As discussões e deliberações no âmbito do GT-Ciber serão pautadas pelo diálogo e consenso, cabendo a decisão final ao Superintendente Coordenador.

Dito isso, verificou-se, ao longo das discussões, uma grande diversidade de pontos de vista, o que impediu que os subgrupos atingissem um consenso nos temas dos subgrupos ad-hoc 1 e 2, conforme relato trazido no Informe nº 533 (7809992):

5.37 O dissenso ocorrido entre os membros do GT-Ciber, seja no subgrupo ou na plenária, foi justificado no item 6.13 do Informe nº 200, onde registrou-se que a heterogeneidade do grupo e busca por interesses antagônicos como motivos que impossibilitaram o consenso. De certa maneira, os Recursos ora analisados são mais uma demonstração deste antagonismo de interesses, conforme se verifica nos argumentos e pedidos apresentados pelas requerentes. Enquanto as prestadoras de maior porte pedem uma maior incidência de obrigações, em graus de abrangência distintos, conforme o interesse particular de cada uma, a associação representante das PPPs pleiteia uma incidência menor de obrigações, ambos em comparação com a proposta contida no Informe nº 200.

5.38 Embora a falta de consenso possa denotar uma incompreensão com as necessidades das outras partes, o antagonismo de ideias é enriquecedor do debate e cria a possibilidade de maior assertividade para o tomador de decisões. Neste sentido, registre-se que a decisão ora combatida foi o resultado desta discussão conflituosa, cuja própria Anatel tomou parte por meio de seus representantes indicados, intervindo quando verificada a conveniência, buscando equilibrar os diversos interesses, mas, sem deixar de atender, principalmente, ao interesse público.

Diante do dissenso relatado, o Coordenador do GT-Ciber encaminhou à SPR a seguinte proposta:

(a) a incidência do art. 8.º do R-Ciber a todas as prestadoras de serviços de telecomunicações, independentemente do porte;

(b) a criação de três classes e ICT com previsão de incidência gradativa das obrigações estabelecidas nos arts 6.º ao 11 do R-Ciber, aos seus detentores que sejam PPP, assim descritas:

I -Infraestruturas Críticas Classe I – Classe de infraestruturas críticas que, conforme a sua relevância ou nível de criticidade nas redes de telecomunicações, quando detidas por uma determinada prestadora, torna exigível as disposições estabelecidas nos arts. 6º, 7.º, 8.º, 9.º, 10 e do art. 11 do R-Ciber.

II - Infraestruturas Críticas Classe II – Classe de infraestruturas críticas que, conforme a sua relevância ou nível de criticidade nas redes de telecomunicações, quando detidas por uma determinada prestadora, torna exigível as disposições estabelecidas no art. 6º, 8.º e do art. 11 do R-Ciber.

III - Infraestruturas Críticas Classe III – Classe de infraestruturas críticas que, conforme a sua relevância ou nível de criticidade nas redes de telecomunicações, quando detidas por uma determinada prestadora, torna exigível as disposições estabelecidas no art. 8.º e 11 do R-Ciber.

(c) que sejam consideradas, inicialmente, as seguintes ICT incluídas na Classe I: (1) Cabo submarino com destino internacional; (2) Prestadores do SMP que detenham rede própria; (3) Detentores de Rede de suporte para Transporte de tráfego interestadual em mercado de atacado.

(d) Nesse momento, não existem definições de infraestruturas críticas para Classes II e III, de formas que tais classes ficam aprovadas como possíveis à partir de eventuais futuras definições, portanto, não aplicável no momento.

(a) que não seja constituída ou designada uma entidade já existente, para creditação de conformidade em boas práticas de segurança cibernética.

Registre-se que a proposta encaminhada pelo GT-Ciber foi amplamente discutida com todos os membros do GT-Ciber, no âmbito do Subgrupo Ad Hoc 01 - Agentes, e decidida com o uso das prerrogativas atribuídas ao Superintende Coordenador, conforme o disposto no § 5º do R-Ciber, ipsis litteris:

§ 5º As discussões e deliberações no âmbito do GT-Ciber serão pautadas pelo diálogo e consenso, cabendo a decisão final ao Superintendente Coordenador.

Entretanto, irresignadas com o resultado das discussões, CLARO S.A., TELEFÔNICA BRASIL S.A., OI S.A. - EM RECUPERAÇÃO JUDICIAL, TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS, TIM S.A. e ALGAR TELECOM S.A. impetraram Recursos com a intenção de alterar o conteúdo da proposta supracitada.

De maneira geral, as prestadoras de maior porte demandam uma ampliação das obrigações das prestadoras de pequeno porte, enquanto estas pleiteiam menor incidência e, consequentemente, menor peso regulatório relacionado ao R-Ciber.

Por meio do Informe nº 533 (7809992), a área técnica destaca o posicionamento das prestadoras de maior porte, que se mantiveram irredutíveis no pleito pela incidência total e indiscriminada das obrigações do R-Ciber às PPP:

5.39. Não obstante, cabe mencionar que a discussão no âmbito do Subgrupo Ad Hoc 1, foi de certa forma prejudicada pela posição das prestadoras obrigadas ao cumprimento dos arts. 6.º a 11, que insistiram na extensão total das obrigações a todas prestadoras sem qualquer modulação durante a maior parte dos trabalhos do grupo, mesmo com a contínua manifestação da Agência de que se tratava de tema já pacificado e superado pela decisão do Conselho Diretor ao aprovar o R-Ciber, sendo que a posição dessas prestadoras já não era novidade e havia sido apresentada na Consulta Pública e, posteriormente, afastada pela área técnica e pelo Conselho Diretor.

5.40. Dessa forma, essa insistência exacerbou o antagonismo, impedindo o avanço da discussão e consenso na identificação de prestadoras cuja criticidade do seu papel no ecossistema justificaria a imposição das obrigações, total ou parcial. Assim, não há que se falar em problema no processo, como alegado pela prestadora Oi, visto que ele é resultado da posição da própria prestadora e seus pares, que não permitiram maior amadurecimento da discussão.

5.41. Reitera-se que o inconformismo registrado nas peças recursais apresentadas, refere-se ao debate meritório sobre a incidência ou não de obrigações. As razões apresentadas pelas prestadoras justificariam uma maior ou menor incidência mas, de pronto, aponta-se que estas razões estão apresentadas em momento inadequado da discussão. Veja-se que a proposta contida no Informe nº 200 refere-se a sugestões do GT-Ciber na forma de contribuições para o atendimento ao item b.1.1 do Acórdão n.º 692/2020, conforme lhe foi determinado pelo Conselho Diretor da Anatel (CD). Assim, haverá, em momento oportuno, um rito próprio para a tomada de decisão pela Anatel na qual será oportunizada para toda a sociedade a possibilidade de contribuições (Processo nº 53500.057799/2021-74).

O Informe nº 533 (7809992) também traz um resumo esclarecedor quanto às obrigações advindas do R-Ciber, nos termos transcritos a seguir:

5.45. O R-Ciber contém dois conjuntos básicos de obrigações, cuja incidência é modulada conforme o art. 2º e o § 2º do mesmo dispositivo. Veja-se:

Art. 2º As disposições deste Regulamento aplicam-se a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, conforme conceito definido na regulamentação, observado o disposto neste artigo.

§ 2º Os princípios elencados no art. 4º e as diretrizes estabelecidas no art. 5º devem ser observados por todas as prestadoras dos serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte, ainda que dispensadas do cumprimento das demais disposições deste Regulamento, bem como pelas demais pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações.

5.46. As normas insculpidas nos arts. 6.º a 11 e detalhados nos arts. 12 a 20 são exigidas de todas as prestadoras dos serviços de telecomunicações, exceto das PPPs, e que doravante são denominadas não-PPPs (NPPPs). Já as normas, descritas nos arts 4.º e 5º, são exigidas de todas as prestadoras de serviços, inclusive as PPPs e, ainda, de todos os demais agentes envolvidos com telecomunicações.

5.47. A tipologia difere o primeiro conjunto de normas do segundo. Os arts. 4.º e 5.º definem os princípios e as diretrizes que norteiam a prestação dos serviços. Ou seja, definem o comportamento exigido de todos os agentes no que diz respeito à segurança cibernética. Já o segundo conjunto de normas, que está contido nos arts. 6.º a 11, exceto 8.º, prescrevem regras que tem a finalidade de criar mecanismos de acompanhamento para a Anatel e promoção de um ambiente colaborativo em segurança cibernética.

5.48. Nas definições inseridas no R-Ciber, a Segurança Cibernética é descrita como as ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis.

5.49. O art. 5º impõe que os agentes envolvidos devem, dentre outros, adotar normas e padrões, nacionais ou internacionais, e referências de boas práticas em Segurança Cibernética, disseminar a cultura de Segurança Cibernética, identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética, incentivar a adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações. Ou seja, o art. 5.º define exatamente quais seriam as ações voltadas para a segurança das operações, o que constitui exatamente primeira parte do conceito de Segurança Cibernética.

5.50. A atenção ao disposto no art. 4.º assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados; que não tenha sido modificada ou destruída de maneira não autorizada ou acidental; que não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados; e, tenha sido produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade. Ou seja, os princípios regem exatamente o bem tutelado, inserindo, dentre estes, aqueles conceitualmente protegidos.

5.51. Neste sentido, a atenção aos arts. 5.º e 4.º do R-Ciber significa a própria Segurança Cibernética. Repise-se que o disposto nestas normas deve ser seguido por todos os agentes envolvidos na prestação dos serviços de telecomunicações, prestadores de serviços ou não, independentemente do porte de sua operação. Ou seja, nenhum agente está eximido da adoção de medidas de segurança cibernética devendo empreender todos os esforços para assegurar proteção às redes e serviços prestados ou usufruidos.

5.52. Isto está alinhado com a manifestação contida no Informe nº 40/2019/PRRE/SPR (SEI nº 4013678), que subsidiou a proposição encaminhada para deliberação pelo Conselho Diretor, após as avaliações elaboradas em decorrência das contribuições recebidas em Consulta Pública.

3.57. É importante frisar que no setor de telecomunicações a diversidade de porte e atuação das empresas é muito grande, principalmente na prestação do Serviço de Comunicação Multimídia (SCM), serviço no qual, atualmente, existem mais de 10 mil empresas. Dentre estas a maioria atende a um número muito baixo de clientes, sendo uma quantidade expressiva de empresas dispensadas de outorga por possuírem menos de 5 mil clientes. Neste cenário, não se considera razoável que uma empresa de pequeno porte, com apenas alguns milhares de clientes estruture uma política de segurança cibernética nos moldes propostos, inclusive, com diretor responsável por esta. No entanto, cabe repisar que os princípios do regulamento deverão ser observados por todas as prestadoras, entre os quais se incluem a adoção de boas práticas, utilização segura e sustentável das redes, a prevenção, resposta e tratamento de incidentes e o direito à privacidade do usuário dos serviços de telecomunicações. Ainda, a proposta prevê que o Conselho Diretor pode incluir ou dispensar, por meio de ato devidamente motivado, qualquer prestadora da incidência das disposições do regulamento independentemente do serviço prestado ou porte da empresa.

5.53. Por outro lado, tem-se as obrigações exigidas, atualmente, apenas das NPPPs, e cuja proposta contida no Informe nº 200 sugere ampliar para outras prestadoras detentoras de ICT, tem como finalidade proporcionar o acompanhamento social e pela Agência, das condições de segurança cibernética promovidas pelas prestadoras e estimular um ambiente colaborativo. Essas são as obrigações contidas nos arts. 6.º a 11, exceto o 8.º.

5.54. De pronto explica-se que o art. 8.º, o qual determina que a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários, tem a finalidade de promover segurança cibernética constituindo uma atividade a ser executada para mitigação de uma vulnerabilidade conhecida (utilização de senha fraca e senha padrão). Na prática, o comando regulatório poderia inexistir como regra regulatória, posto que se trata de gestão de vulnerabilidades que deve ser exercido pelos agentes. Não obstante, em face da relevância de se mitigar esta vulnerabilidade, bem como, a a envergadura da sua abrangência o regulador fez a opção de a inserir no rol das obrigações do R-Ciber, especialmente considerando que o Ato n.º 77/2021 da Superintendência de Outorga e Recursos Escassos (SOR), que estabelece requisitos de segurança cibernética para equipamentos de telecomunicações é posterior ao regulamento e não é, ainda, mandatório.

5.55. Repisa-se que o R-Ciber exige que todos os agentes envolvidos na prestação dos serviços de telecomunicações atuem em atenção às boas práticas concernentes à Segurança Cibernética, adotando normas e padrões internacionais e identificando, protegendo, diagnosticando e recuperando os incidentes sob sua responsabilidade. Estes agentes devem atuar de maneira colaborativa buscando a utilização segura e sustentável das redes e disseminando a cultura de segurança. Isto está explicitamente inserido nas diretrizes insculpidas no R-Ciber. Já no que tange aos mecanismos de acompanhamento social e pela Anatel e à promoção de um ambiente colaborativo em segurança cibernética verifica-se que o regulador fez uma opção por criar mecanismos diferenciados, considerando a diversidade de prestadoras. (destaques presentes no original)

Por fim, a Tabela 1 ilustra a proposta de incidência específica dos dispositivos do R-Ciber, nos termos da Análise 108/2021/CB (7779643):

Nesse contexto, passo à análise dos principais pontos apresentados pelas Recorrentes.

A CLARO pleiteia que todos os agentes estejam sujeitos ao cumprimento dos art. 9º (notificação de incidentes) e 10 (ciclos de avaliação de vulnerabilidades) do R-Ciber, sob o argumento de que o setor de telecomunicações se encontra totalmente interligado, e que um ataque eventual poderia comprometer todos os atores. Acrescenta que tais determinações não implicariam em barreira à entrada das PPP.

A VIVO alega não haver justificativa técnica na proposta de exclusão de determinados agentes quanto ao cumprimento de certos dispositivos do R-Ciber. O tema de segurança cibernética, segundo a recorrente, engloba também aspectos de infraestrutura de rede lógica, não apenas de infraestrutura física. Nesse sentido, entende que as obrigações do R-Ciber deveriam se estender a todos os demais agentes interligados ao setor de telecomunicações, com alguma das seguintes características: ser AS (Autonomous System); DNS (Domain Name System); ou possuir registro próprio de IP (Internet Protocol). Por fim, entende que o regulamento de segurança cibernética deveria se pautar em aspectos exclusivamente técnicos, sem considerar o porte ou abrangência das prestadoras.

A OI também apresentou pleito de que todos os agentes do setor de telecomunicações deveriam ser abrangidos de forma integral pelo R-Ciber, por entender que somente assim haveria efetiva proteção, haja vista a integração entre as redes em funcionamento. A OI também aponta que o fornecimento de equipamentos de Tecnologia da Informação e Comunicação deveriam possuir Política de Segurança Cibernética compatível (PSC), sendo ainda submetidas a análises de vulnerabilidades de maneira constante. Ainda segundo a prestadora, os arts. 6º (PSC), 7º (utilizar equipamentos de fabricantes com PSC e que realizem auditoria independente periódica) e 10 (ciclos de avaliação de vulnerabilidades) deveriam recair sobre todo os agentes, independente do porte, tipo de serviço, market share ou tipo de infraestrutura. Além disso, o art. 8º (alteração da configuração padrão dos equipamentos em regime de comodato) deveria ser aplicável a todos provedores de serviços de telecomunicações, assim como o 9º (notificação de incidentes), que deveria abranger agentes a partir de um volume mínimo de consumidores potencialmente impactados.

A Telcomp, Associação que representa prestadoras competitivas, apresentou Recurso Administrativo endossado pela Abrint, Internetsul e Associação NEO. Segundo suas razões recursais, não deveria haver incidência indiscriminada do R-Ciber sobre as PPP, tendo em vista que suas redes são mais limitadas geograficamente, fragmentadas e possuem menor criticidade. Dessa maneira, a associação apoia a Agência quando da modulação da abrangência das determinações do R-Ciber às PPP.

A Associação também entende que o art. 8º (alteração da configuração padrão dos equipamentos em comodato) deveria ser aplicável a todas as prestadoras, porém propõe que tal determinação possa garantir excepcionalidades, conforme protocolo de autenticação ou uso de tecnologia específica, e sugere, por fim, que seja provido prazo de até 18 (dezoito) meses para implementação da medida pelas PPP.

A TIM afirma que a Anatel não teria considerado adequadamente o potencial lesivo às redes de telecomunicações quando estabeleceu tratamento diferenciado às PPP, especialmente quanto ao requisito de análise de vulnerabilidade (art. 10 do R-Ciber). Segundo a Recorrente, tais prestadoras seriam as mais vulneráveis a ataques digitais, de forma que tal isenção implicaria em redes menos seguras, fragilizando todo o ecossistema. Afirma também que, quando se trata da Lei Geral de Proteção de Dados (LGPD), não há exceções ou isenções quanto ao porte das empresas, e que, de forma análoga, tal lógica deveria valer também para o R-Ciber.

A ALGAR concorda com as assimetrias regulatórias trazidas pela regulação setorial, na qual nem todas as obrigações sejam necessariamente impostas às PPP. Segundo a prestadora, já existe obrigação horizontal a tais atores, como de utilização de produtos homologados, nos termos do Ato nº 77/2021 (Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações), e que a LGPD já seria transversal a todos os atores do ecossistema digital.

Pertinente ressaltar que a Análise 108/2021/CB (7779643), nos autos do processo nº 53500.057799/2021-74, já havia tratado de várias das questões apresentadas, no sentido de manter a assimetria regulatória a todas as PPP que não detivessem infraestruturas críticas:

4.21. Importante notar que a possibilidade de inclusão de prestadoras, independentemente do porte, já se encontra prevista no R-Ciber, conforme §1º do Art. 2º, abaixo destacado:

Art. 2º As disposições deste Regulamento aplicam-se a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, conforme conceito definido na regulamentação, observado o disposto neste artigo.

§ 1º O Conselho Diretor da Anatel poderá, motivadamente, incluir ou dispensar, total ou parcialmente, as prestadoras de serviços de telecomunicações de interesse coletivo ou restrito, independentemente do porte, empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações e demais empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações, da incidência das disposições deste Regulamento. (destaque próprio)

4.22. Além disso, de acordo com o R-Ciber, todas as prestadoras de serviços de telecomunicações (inclusive PPP), já se encontram obrigadas ao cumprimento dos art. 4º e 5º:

§ 2º Os princípios elencados no art. 4º e as diretrizes estabelecidas no art. 5º devem ser observados por todas as prestadoras dos serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte, ainda que dispensadas do cumprimento das demais disposições deste Regulamento, bem como pelas demais pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações.

Art. 4º As condutas e procedimentos para a promoção da Segurança Cibernética nas redes e serviços de telecomunicações devem buscar assegurar os seguintes princípios:

Art. 5º As pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações devem atuar em Segurança Cibernética observando as seguintes diretrizes:

I - adotar normas e padrões, nacionais ou internacionais, e referências de boas práticas em Segurança Cibernética;

IV - buscar a utilização segura e sustentável das redes e serviços de telecomunicações;

V - identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética;

VI - buscar a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;

VII - respeitar e promover os direitos humanos e as garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e,

VIII - incentivar a adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

Parágrafo único. No cumprimento das diretrizes será observado o atendimento integral e tempestivo das solicitações apresentadas pela Agência.

4.23. Considero que a proposta mostra-se coerente com o objetivo primordial do Regulamento, já que o enquadramento das PPP, estabelecido atualmente pelo Plano Geral de Metas de Competição, aprovado pela Resolução nº 694, de 17 de julho de 2018, como grupo "detentor de participação de mercado nacional inferior a 5% (cinco por cento) em cada mercado de varejo em que atua", não se encontra necessariamente vinculado à criticidade da infraestrutura detida ou controlada por tais empresas.

4.24. Assim, entendo que o texto trazido pelo Grupo, positivamente, resguarda as PPP que não sejam enquadradas em nenhuma das hipóteses de infraestruturas críticas, garantindo o propósito fundamental do caput do art. 2º do R-Ciber, que excluiu, a priori, a obrigatoriedade de atendimento das disposições por tais prestadoras.

4.25. Também é crucial ressaltar que as prestadoras não PPP são obrigadas pelo art. 11 do R-Ciber a informar sobre suas Infraestruturas Críticas de Telecomunicações (ICT):

Art. 11. A prestadora deve enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações, nos termos da Seção V deste Capítulo.

4.26. Assim, mediante a proposta apresentada, todas as prestadoras que detenham ICT estariam sujeitas, portanto, a prestar informações à Anatel. Dessa forma, as PPP que não se enquadrem nesse caso continuarão não obrigadas a encaminhar tal informação.

4.27. Tal situação pressupõe a adequada diligência das prestadoras entrantes, mas por outro lado mantém a isenção à grande maioria das PPP, razão pela qual acompanho a referida proposta. (destaque não presente no original)

Ainda, é necessário reforçar que tais atores, mesmo diante da assimetria prevista pelo R-Ciber, devem também obedecer aos princípios e boas práticas previstos a todos os agentes do setor e que eventual dispensa regulatória não implica dizer que as prestadoras possam negligenciar a segurança de suas redes. Nessa esteira, a área técnica, por meio do Informe 533 (7809992), avaliou de maneira precisa os principais argumentos trazidos pelas prestadoras nPPP:

5.66. Veja-se que em nenhum momento a assimetria regulatória proposta pela área técnica é rechaçada pelo Conselho Diretor. Ao contrário, a necessidade de assimetria é ressaltada a fim de dosar o ônus regulatório, que precisa considerar as responsabilidades e as capacidades das empresas. Além disso, as manifestações dos Conselheiros justamente ressaltam que o regulamento não isenta, não dispensa as prestadoras desobrigadas do atendimento das regras constantes dos art. 6º a 11 do R-Ciber, do atendimento das demais normas previstas no R-Ciber. Reitera-se que não existe uma espécie de "passe livre" para as PPPs em matéria de segurança cibernética. Esse conjunto (bastante diverso) de prestadoras precisa obedecer e atender a todos os princípios e diretrizes elencados nos arts. 4º e 5º.

5.67. Repise-se que o acompanhamento com maior proximidade pela Anatel sobre alguns agentes não significa uma dispensa para que os demais de adotem comportamentos displicentes. Tampouco pode significar um consentimento para a adoção de comportamento ou práticas irresponsáveis de qualquer agente, prestadora de serviços de qualquer porte ou não prestadora, relacionadas ao ambiente cibernético.

5.68. Saliente-se que as prestadoras de serviços devem assegurar os direitos de seus consumidores destacando-se, dentre estes, os previstos nos incisos I e XI, do art 3.º do Regulamento Geral de Direitos do Consumidor de Serviços de Telecomunicações, aprovado pela Resolução nº 632, de 7 de março de 2014 (RGC) que assegura-lhes fruição dos serviços dentro dos padrões de qualidade e regularidade previstos em todo o arcabouço normativo, inclusive o R-Ciber, e reparação pelos danos causados pela violação dos seus direitos. Neste sentido, há responsabilização de quaisquer prestadoras, inclusive com previsões de obrigações de ressarcimento ou indenizações, no caso de ocorrência de um incidente cibernético que tenha provocado prejuízo a cliente, se o dolo ou culpa de algum agente for comprovada.

5.69. Outra questão suscitada pelas recorrentes refere-se ao risco de se manterem interconectadas com redes não seguras ou com segurança insuficiente. Aqui recorre-se aos mesmos argumentos anteriormente explicados. O fato de existir dispensa das obrigações contidas nos arts. 6.º a 11 não significa liberalidade para comportamentos negligentes quanto a segurança cibernética. Neste sentido, não se observa a menor possibilidade de acatamento deste argumento apresentado pelas recorrentes. De fato, a proliferação de malwares pode ocorrer nas ligações existentes entre os diversos equipamentos das redes e sistemas de suporte das operações, mas não somente. Esta proliferação também ocorre nas interligações entre as prestadoras e seus clientes pois, à partir destes, os malwares também conseguem alcançar as redes e sistemas das prestadoras de serviços. Veja-se que nem por isto se vislumbrou a possibilidade de exigência sobre usuários dos serviços de telecomunicações, por regulamentação da Anatel, para que estes realizem ciclos de avaliação de vulnerabilidades da forma proposta na regulamentação e detalhada nas decisões do GT-Ciber ou que notifiquem esta Agência ou demais prestadoras sobre a eventual ocorrência de um incidente relevante ou qualquer outra obrigação descrita nos arts. 6.º a 11, ou qualquer outra exigência conforme as propostas de algumas recorrentes.

5.71. Nessa esteira, considera-se que a discussão sobre a extensão de todas as normas R-Ciber a todas prestadoras é um tema já superado pela decisão de mais alto nível da Agência, que reconhece a necessidade de assimetria regulatória a fim de dosar o ônus o regulatório a ser imposto às PPPs, com a ressalva de que o próprio regulamento traz a previsão adequada que permite ao Conselho Diretor, motivadamente, preservar a razoabilidade a adequação dessa assimetria, sempre com atendimento ao interesse público envolvido.

Acrescento que o Acórdão 419 (7828344) definiu pela submissão da CP 63/2021 com proposta que abarcava a aplicação do art. 8º a todas as prestadoras de serviços de telecomunicações, nos termos abaixo:

1. As obrigações constantes nos arts. 6º, 7º, 8º, 9º, 10 e 11 do R-Ciber incidirão sobre as prestadoras do Serviço Móvel Pessoal detentoras de rede própria, detentoras de cabo submarino com destino internacional e detentoras de Rede de suporte para Transporte de tráfego interestadual em mercado de atacado.

2. As Prestadoras de Pequeno Porte deverão adotar o procedimento de alteração da configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários, nos termos do art. 8º do R-Ciber.

3. Os princípios e definições do R-Ciber aplicam-se a todos os elos da cadeia necessários à garantia da Segurança Cibernética, inclusive fabricantes de equipamentos. (destaque próprio)

A alteração da configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato constitui boa prática essencial quando da prestação dos serviços de telecomunicações e é apoiada pela própria TELCOMP.

A Telcomp discorda do texto sugerido para as Classes de Infraestruturas Críticas de Telecomunicações (ICT) II e III, pois tais definições onerariam a cadeia de valor como um todo e não faria sentido do ponto de vista de tratamento da criticidade de redes. Requer também que as obrigações propostas para os detentores de rede do SMP deveriam estar restritas apenas às prestadoras que detenham rede própria, ou seja, as RV-SMP autorizadas.

Além disso, a associação se insurge contra o critério de dependência geográfica exclusivo para verificação de criticidade no que tange às redes de transporte, classificadas na proposta como ICT-I, e que o encaminhamento interestadual de chamadas não caracterizaria, por si só, a atuação no mercado de atacado e não representaria necessariamente uma infraestrutura crítica. Solicita que a proposta reflita um real cenário de interdependência de ativos críticos, que possam representar potencial risco de indisponibilidade de redes.

Preliminarmente, resgato o que havia sido proposto inicialmente pelo GT-Ciber, em proposta submetida por meio do Informe nº 200/2021/COGE/SCO (7040861):

c) Que sejam consideradas, inicialmente, as seguintes ICT incluídas na Classe I: (1) Cabo submarino com destino internacional; (2) Prestadores do SMP que detenham rede própria; (3) Detentores de Rede de suporte para Transporte de tráfego interestadual em mercado de atacado.

d) Nesse momento, não existem definições de infraestruturas críticas para Classes II e III, de formas que tais classes ficam aprovadas como possíveis à partir de eventuais futuras definições, portanto, não aplicável no momento.

No tocante à categorização ICT-I, a própria SCO compreende que a proposta apresentada, em princípio, não abarcaria indiscriminadamente todas as prestadoras que possuam rede de transporte interestadual. Tal definição careceria, ainda, de que as prestadoras atuem, de fato, em mercado de atacado, o que será avaliado posteriormente em procedimento específico:

5.84. Em outra abordagem da associação, verifica-se alegações de que as PPP que possuam redes de suporte para Transporte de tráfego interestadual deveriam ser excluídas das obrigações, face ao não enquadramento no conceito de ICT. Sobre este ponto explica-se que nem todas as prestadoras destes serviços são, de fato, detentoras desta ICT. Há aqui um equívoco na interpretação realizada pela associação ao considerar que isto alcançaria a todas as prestadoras que realizam o Transporte de tráfego telefônico.

5.85. De fato, o que pretende com a proposta encaminhada para a SPR é que sejam incumbidas apenas aquelas que prestam um serviço cuja criticidade possa provocar os transtornos da descrição conceitual de ICT. Ressalte-se que até por isto está sendo necessário realizar um aprimoramento de informações para identificar quais seriam estas prestadoras.

5.86. Em 05 de agosto de 2021, a SPR encaminhou o Memorando nº 100/2021/PRRE/SPR solicitando que fosse realizado um levantamento de quais seriam as empresas detentoras das referidas infraestruturas, que passariam a estar sujeitas às obrigações do R-Ciber. Em atenção a este questionamento, o Coordenador do GT-Ciber respondeu informando o rol das detentoras de Cabo Submarino com destino internacional e a relação de prestadoras do SMP identificadas nos sistemas de outorga da Anatel. Neste documento, informou-se que não havia nos sistemas da Anatel disponibilidade de informações suficientes para prestadores de serviços de Transporte e que, uma vez estabelecido o conceito, seriam necessárias diligências e pesquisas para identificação das PPPs que atenderiam este requisito, seja por consulta pública, consulta cruzada aos regulados, consulta às associações, dentre outras formas que seriam avaliadas. Ao retorno do procedimento, após a análise do pedido de efeito suspensivo, foi encaminhado o Ofício nº 947/2021/COGE/SCO-ANATEL para as prestadoras NPPP e as concessionárias do STFC, explicando que nem todas as redes que prestam os serviços de Transporte de tráfego interestadual teriam potencial de provocar sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade quando indisponíveis, em linha com o próprio conceito de ICT, e questionando a estas prestadoras quais PPP lhes prestariam este serviço. Espera-se que esta informação possa subsidiar a separação no conjunto das prestadoras que realizam o serviço de Transporte aquelas críticas e não críticas.

5.87. Ou seja, é patente que o entendimento do GT-Ciber é de que nem todas as prestadoras que detêm redes para Transporte interestadual de tráfego serão incumbidas das obrigações do R-Ciber. Será necessário entender primeiro em quais situações essas redes são imprescindíveis ou o único recurso disponível. Neste sentido, verifica-se o equívoco na interpretação realizada pela associação.

Nesse sentido, relevante notar que a SCO, por meio da Certidão COGE/SCO/2021 (8049038), informou que foi instaurado o Procedimento n.º 53500.012616/2022-72 "com o objetivo avaliar as redes de suporte para Transporte de tráfego interestadual em mercado de atacado com potencial para provocar sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade quando indisponíveis, conforme informado no Memorando nº 120/2021/COGE/SCO (SEI n.º 7259741)".

Entendo como pertinente resgatar que a SPR, por meio dos autos nº 53500.057799/2021-74, submeteu ao CD proposta de normativo com a classificação de ICT I, II e III sem, contudo, especificar objetivamente quais seriam as infraestruturas passíveis de enquadramento nas duas últimas categorias (II e III). A CP 63/2021 foi aprovada pelo CD, por unanimidade, com a exclusão das ICT II e III, pelas razões abaixo transcritas:

4.28.7. Permito-me apenas discordar da proposta apresentada pelo Grupo Técnico, no que diz respeito à previsão de enquadramento, em abstrato, de possíveis prestadoras que venham a se enquadrar como detentoras de Infraestrutura Crítica de Telecomunicações Classe II e III.

4.28.7.1. Particularmente, entendo que tal previsão se faz desnecessária tendo em vista que sua aplicação dependeria, de qualquer forma, de um estabelecimento concreto sobre quais tipos de empresas se enquadrariam em cada classe.

4.28.7.2. A definição em aberto não aponta de forma objetiva qual o problema que se pretende tratar, nem os resultados esperados de tal normativo. Gera-se, assim, insegurança jurídica a todos os atores do setor quanto às decisões desta Agência.

4.28.7.3. Verifica-se, contudo, que a Minuta de Ato PRRE 7265667 não reflete em seu teor a criação das classes II e III. Tal racional encontra-se presente apenas nos Informes nº 113/2021/PRRE/SPR (SEI nº 7265663) e 200/2021/COGE/SCO (SEI nº 7040861).

A ALGAR requer, inicialmente, que a proposta contida no Informe nº 200/2021/COGE/SCO (SEI n.º 7040861) fosse submetida ao Conselho Diretor para posterior submissão à Consulta Pública, para participação ampla da sociedade. Segundo a recorrente, não há mandato concedido ao GT-Ciber quanto à ampliação ou restrição da abrangência da aplicação das obrigações contidas no R-Ciber.

De fato, tal competência é do Conselho Diretor da Anatel, nos termos do §2º, art. 2º do R-Ciber. Nesse sentido, conforme relatado anteriormente, já foi submetida a Consulta Pública nº 63/2021, disponível para contribuições de toda a sociedade. Assim, a preocupação externada pela ALGAR não subsiste, tendo em vista o regular procedimento de consulta pública.

Sobre os demais recursos, importante resgatar que a decisão impugnada foi proferida quando da rediscussão dos termos do R-Ciber, via proposta a ser formulada no âmbito de Grupo Técnico, com base no disposto no artigo 22, II do R-Ciber e no Acórdão nº 692 (6357283).

Em estrito cumprimento ao que foi determinado por esse Colegiado, a SCO remeteu à SPR contribuições à minuta de Resolução, a qual fixava a incidência das obrigações em segurança cibernética.

Vale dizer, que as discussões no âmbito do Grupo apresentaram-se polarizadas, o que inviabilizou o consenso e culminou com a apresentação da proposta pelo Superintendente Coordenador, com base no artigo 24, §5º. Assim, importante destacar que a atuação das Superintendências seguiu os trâmites legais, não carecendo de retoques.

Sobre o mérito das discussões, considero que embora a interposição dos recursos ora sob análise seja juridicamente possível, ela vai de encontro ao espírito do que se pretendeu ao viabilizar um amplo debate em um fórum especializado, com ampla participação dos interessados e sob a batuta da Superintendência responsável pelo tratamento do tema Segurança Cibernética, na Anatel.

Como todo debate em que as partes têm interesses diversos, o que se espera é que cada uma delas flexibilize alguns pontos, de forma a culminar com o consenso. Esse é o espírito da atuação responsiva em que a Agência vem se pautando, de forma que os agentes assumam papel de protagonistas nas propostas formuladas pelo setor. Quando as partes apresentam-se irredutíveis em suas convicções frustra-se por completo este intento.

Dito isso, considero que neste momento não me cabe tecer maiores comentários sobre os pontos recursais, haja vista que a proposta formulada no âmbito do GT-Ciber ainda está em dicussão via Consulta Pública nº 63/2021 (SEI 7828346). Assim, o que se espera é que as partes utilizem-se deste canal para apresentar e fundamentar suas propostas, imbuídas do caráter responsivo que tanto pleiteiam seja adotado pela Agência. Para que isso se torne realidade é essencial que os agentes setoriais demonstrem efetivamente estarem habilitados para este exercício.

Assim, por entender que qualquer manifestação além do já exposto até este momento, por parte deste Colegiado, importaria em obstaculizar as discussões de forma ampla na Consulta Pública deixo de me manifestar sobre eles e recomendo fortemente as recorrentes que apresentem seus fundamentos no âmbito da Consulta Pública nº 63/2021 (SEI 7828346).

Diante todo o exposto, e por entender que os temas apresentados encontram-se adequadamente tratados nos autos do processo nº 53500.057799/2021-74, que submeteu proposta de normativo à CP 63/2021, após a promoção de discussão no âmbito do GT-Ciber, nos termos do Acórdão nº 692 (6357283) e Despacho Ordinatório SCD (SEI nº 6357482), proponho conhecer os Recursos Administrativos de CLARO S.A., TELEFÔNICA BRASIL S.A., OI S.A. - EM RECUPERAÇÃO JUDICIAL, TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS, TIM S.A. e ALGAR TELECOM S.A. em face do Despacho Decisório nº 229/2021/COGE/SCO (SEI nº 7191384) para, no mérito, negar-lhes provimento.

Diante todo o exposto, proponho conhecer os Recursos Administrativos de CLARO S.A., TELEFÔNICA BRASIL S.A., OI S.A. - EM RECUPERAÇÃO JUDICIAL, TELCOMP - ASSOCIAÇÃO BRASILEIRA DAS PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES COMPETITIVAS, TIM S.A. e ALGAR TELECOM S.A. em face do Despacho Decisório nº 229/2021/COGE/SCO (SEI nº 7191384) para, no mérito, negar-lhes provimento.

Documento assinado eletronicamente por Carlos Manuel Baigorri, Conselheiro, em 10/03/2022, às 15:15, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 7963655 e o código CRC C98DEB08.