SEI/ANATEL - 5233452

Proposta de reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações - Item nº 7 da Agenda Regulatória para biênio o 2019-2020.

Reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações. ITEM 7 DA AGENDA REGULATÓRIA DO BIÊNIO 2019-2020. adequação da proposta a atos supervenientes. pela aprovação.

Proposta de Reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações prevista no item nº 7 da Agenda Regulatória para biênio o 2019-2020.

Regularidade formal do procedimento e legalidade dos dispositivos da minuta de Resolução atestadas pela Procuradoria Federal Especializada junto à Anatel.

Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018;

Decreto 9.637, de 28 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, no âmbito da administração pública;

Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética;

Instrução Normativa nº 4, de 26 de março de 2020, que dispõe sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G;

Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998;

Regulamento do Serviço de Comunicação Multimídia, aprovado pela Resolução nº 614, de 28 de maio de 2013;

Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477, de 7 de agosto de 2007;

Regulamento do Serviço Telefônico Fixo Comutado – STFC, aprovado pela Resolução nº 426, de 9 de dezembro de 2005;

Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010;

Trata-se de proposta de reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações, submetida pela Superintendência de Planejamento e Regulamentação (SPR) para aprovação final deste Conselho Diretor.

A proposta de revisão regulamentar originalmente constava da Agenda Regulatória para o biênio 2017-2018, nos itens nº 41 e 58, versando, respectivamente, sobre reavaliação da regulamentação relacionada a serviços públicos de emergência e sobre a regulamentação de segurança das redes de telecomunicações, conforme descrição abaixo:

Item 41 - Reavaliação da regulamentação relacionada a serviços públicos de emergência

Reavaliação da regulamentação relacionada a serviços públicos de emergência, em especial sobre aspectos que envolvam a interlocução entre as prestadoras de serviços de telecomunicações e os órgãos de segurança pública (bloqueio de Estações Móveis impedidas, interceptação de chamadas, quebra de sigilo, entre outros).

Item 58 - Análise sobre regulamentação de segurança das redes de telecomunicações

Elaboração de análises e estudos sobre a necessidade ou não de regulamentação que possibilite a implementação de medidas de proteção e segurança das redes e serviços das operadoras de telecomunicações. A segurança das redes é hoje um dos grandes problemas da nova economia digital. São diversos os países que vem enfrentando os problemas relacionados à segurança cibernética e realizando grandes investimentos na busca da disponibilidade, confidencialidade e integridade das informações no ambiente cibernético. Como os dados trafegam em redes de telecomunicações cabe à Anatel atuar dentro de suas competências a fim de garantir e fiscalizar a proteção dessa primeira linha de frente, a exemplo de outros reguladores como FCC (EUA), Anacom (Portugal), KISA (Coréia do Sul), Ofcom (Reino Unido) que atualizam constantemente suas diretrizes.

Ambos os projetos possuíam o mesmo cronograma de execução, com a previsão da conclusão do Relatório de Análise de Impacto Regulatório (AIR) para o 1º semestre de 2018, tendo sido realizadas diversas interações pela equipe de projeto com as partes interessadas e afetadas pela proposta.

Conforme relatado no Informe nº 64/2018/SEI/PRRE/SPR (SEI nº 2843457), no decorrer das discussões realizadas em cada projeto, verificou-se uma grande sinergia entre eles, visto que ambos abordam aspectos de segurança na prestação e fruição dos serviços de telecomunicações, tendo sido apontadas soluções comuns para alguns problemas apresentados nos dois projetos, conforme pode se observar nos respectivos relatórios de Análise de Impacto Regulatório. Por este motivo optou-se por reuni-los em um mesmo processo regulamentar, conforme consta do item nº 7 da Agenda Regulatória para o biênio 2019-2020, com previsão de aprovação final no segundo semestre de 2019.

O citado Informe, datado de 29 de junho de 2018, apresentou a Análise de Impacto Regulatório (SEI nº 2843562 e 2843567), Minuta de Consulta Pública (SEI nº 2843760) e Minuta de Resolução (SEI nº 2843580), propondo o encaminhamento dos autos à Procuradoria Federal Especializada da Anatel - PFE para emissão de Parecer, com vistas à posterior submissão ao Conselho Diretor para deliberação sobre Consulta Pública.

Não foi realizada Consulta Interna, tendo a área técnica justificado a sua dispensa com fulcro no art. 60, §2º do Regimento Interno da Anatel, com vistas a não impedir ou retardar a deliberação da matéria, cujo prazo de apresentação de Análise de Impacto Regulatório se findava em 30 de junho de 2018. Contudo, o tema foi objeto de debate em 19 de junho de 2018 em seminário realizado na Agência sobre "O Futuro da regulação no contexto da nova economia digital".

A PFE se manifestou sobre a proposta de Consulta Pública por meio do Parecer nº 00538/2018/PFE-ANATEL/PGF/AGU (SEI nº 3292440), de 1º de outubro de 2018.

As contribuições da PFE foram analisadas nos termos do Informe nº 120/2018/SEI/PRRE/SPR (SEI nº 3296749), de 16 de outubro de 2018, encaminhando os autos a este Conselho Diretor.

A proposta de Consulta Pública foi aprovada em Reunião Extraordinária do Conselho Diretor, realizada em 19 de dezembro de 2018, nos termos do Acórdão nº 735, de 24 de dezembro de 2018 (SEI nº 3649623), com fulcro na Análise nº 229/2018/SEI/OR (SEI nº 3470863).

A Consulta Pública nº 52, de 24 de dezembro de 2019 (SEI nº 3649684), foi aprovada pelo prazo de 30 (trinta) dias, posteriormente prorrogada por 31 (trinta e um) dias adicionais, nos termos da Análise nº 25/2019/AD (SEI nº 3722249) e do Acórdão nº 17 (SEI nº 3726050), de 17 de janeiro de 2019.

As contribuições recebidas foram analisadas pelo Informe nº 40/2019/PRRE/SPR (SEI nº 4013678), de 24 de junho de 2019, encaminhando-se os autos para a apreciação da PFE.

Em 22 de outubro de 2019, a PFE se manifestou por meio do Parecer nº 00763/2019/PFE-ANATEL/PGF/AGU (SEI nº 4792529), analisado pela área técnica nos termos do Informe nº 180/2019/PRRE/SPR (SEI nº 4863474), de 13 de dezembro de 2019.

Por meio de sorteio realizado em 23 de dezembro de 2019 (SEI nº 5061606) os autos foram distribuídos a este Gabinete para fins de relatoria.

Após o encaminhamento da proposta a este Conselho, o Gabinete de Segurança Institucional da Presidência da República - GSI, encaminhou o Ofício nº 3/2020/DSI/SCS/GSI/PR (SEI nº 5118169), de 6 de dezembro de 2020, versando sobre requisitos mínimos de Segurança Cibernética da Tecnologia 5G (Processo nº 53500.001429/2020-00).

Em 5 de fevereiro de 2020, por meio do Decreto nº 10.222, foi aprovada a Estratégia Nacional de Segurança Cibernética, "orientação manifesta do Governo federal à sociedade brasileira sobre as principais ações por ele pretendidas, em termos nacionais e internacionais, na área da segurança cibernética", com validade no quadriênio 2020-2023.

Em 27 de março de 2020, foi publicada a Instrução Normativa nº 4, do Gabinete de Segurança Institucional da Presidência da República, versando sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G.

Em observância ao disposto na Lei Geral de Telecomunicações, nas demais legislações em vigor, assim como no Regimento Interno desta Agência, a proposta em análise cumpriu todos os procedimentos formais, conforme chancelado pela PFE em seus Pareceres acostados aos autos.

Destaco, de forma sucinta, os estudos realizados na Análise de Impacto Regulatório e o procedimento de Consulta Pública.

As Análises de Impacto Regulatório foram elaboradas separadamente para os projetos de nº 41 e 58 da Agenda Regulatória para o biênio 2017-2018, como segue.

Item nº 41 - Reavaliação da regulamentação relacionada a serviços públicos de emergência (SEI nº 2843562)

Atualmente, a regulamentação da Anatel sobre segurança pública é esparsa, apesar de diversas atividades desempenhadas pela Agência em âmbito de grupos de trabalho para tratativa de matérias relacionadas ao tema, sejam eles grupos criados por determinação regulamentar ou de ofício, a pedido dos próprios agentes de segurança pública.

A AIR enumera vários resultados e atividades exitosos oriundos desses grupos de trabalho, como por exemplo (i) o Cadastro Nacional de Estações Móveis Impedidas – CEMI, que impede o funcionamento de terminais móveis roubados, extraviados ou objeto de furto em todas as prestadoras nacionais e em uma dezena de outros países; (ii) o fornecimento de localização, com alta precisão, de Estações Móveis originadoras das chamadas ou das mensagens de texto destinadas ao respectivo serviço público de emergência, fruto de determinação contida na Resolução nº 627, de 2013; (iii) o Sistema de Investigações Telefônicas e Telemáticas - SITTEL, coordenado em parceria pela Anatel e pela Procuradoria Geral da República, e com a participação da Polícia Federal, dos Ministérios Públicos Estaduais, das Polícias Civis estaduais e das prestadoras de SMP, tendo como escopo organizar a transmissão, recepção e o processamento dos registros telefônicos e telemáticos, utilizando-se de sistemática única de requisição e, por consequência, de padronização dos pedidos, de forma eletrônica, às prestadoras de telecomunicações no Brasil; (iv) diálogos com o Departamento Penitenciário Nacional – DEPEN, atualmente vinculado ao Ministério Extraordinário de Segurança Pública com o intuito de identificar pontos de melhoria e aumentar a eficiência do uso de Bloqueadores de Sinais de Radiocomunicação (BSR) em presídios; entre outras tantas que trouxeram para esta Agência a percepção da necessidade de oficializar, por meio da regulamentação, essas práticas já adotadas.

O fato de alguns desses grupos de trabalho terem se iniciado a pedido de interessados e não por determinação regulamentar, tendo atingido objetivo para o qual foram criados, poderia ensejar o questionamento sobre a necessidade de uma regulamentação específica sobre questões de segurança pública.

A AIR, no entanto, justifica a necessidade de regulamentação com base em experiência, dados e demandas advindos das diversas atividades já desempenhadas nesses grupos, como por exemplo buscar o engajamento de prestadores regionais ou de menor porte, que não tem capacidade de acompanhar as discussões travadas em âmbito de grupos de trabalho, como também das próprias entidades dos entes federados que poderiam se beneficiar das iniciativas, mas que desconhecem o que já vem sendo implementado.

Além disso, a proposta tem por escopo ampliar ou melhorar determinadas obrigações regulamentares, seja em questões de qualidade, uma vez que tais insumos tem se tornado cada vez mais relevantes na sociedade digital para atividades de segurança pública, seja por questões de lacunas regulamentares que obrigam as prestadoras de determinados serviços, mas não de outros, demonstrando uma dicotomia que não deveria ocorrer, seja ainda pela própria dificuldade de interlocução entre prestadoras de telecomunicações e os agentes de segurança pública.

Nesse contexto, a área técnica reportou a realização de tomada de subsídios com o Setor (SEI nº 2843360), identificando 4 (quatro) temas objeto de estudo na AIR, a saber:

Tema 01 – Engajamento do setor de telecomunicações em prol de ações de segurança pública

Alternativa A – Manutenção da configuração atual, com regulamentação sobre o tema dispersa em diversos instrumentos;

Alternativa B – Centralização das obrigações em instrumento regulamentar único;

Alternativa C – Maior institucionalização dos grupos e padronização de seus produtos, especialmente quanto à aprovação;

Tema 02 – Dificuldade em mobilizar as instituições públicas em aderir às iniciativas e discussões

Alternativa C – Criação de estruturas no portal da Agência para dar publicidade às discussões e resultados;

Alternativa D - Área específica da Anatel responsável pelo acompanhamento do tema.

Tema 03 – Acesso a dados com qualidade necessária no contexto de segurança pública

Alternativa B – Previsão da necessidade na regulamentação e tratamento da forma de implementação por meio de grupo de trabalho;

Tema 04 – Interlocução entre as prestadoras de telecomunicações e o setor de segurança pública (bloqueadores de sinais em presídios e outras iniciativas)

Alternativa A – Manutenção da configuração atual (coordenação de forma descentralizada, dependendo dos agentes regionais de cada prestadora);

Alternativa B – Padronização do processo de coordenação entre as partes no âmbito dos grupos de trabalho;

Item nº 58 - Análise sobre regulamentação de segurança das redes de telecomunicações

Diferentemente do item anterior, que já é tratado na regulamentação da Agência, a questão da segurança das redes ainda não é objeto das normas expedidas pela Anatel.

A Agenda Regulatória que incluiu o tema previu a realização de análises e estudos sobre a necessidade ou não de se regulamentar o assunto, que é atual e primordial para vários países, sendo um dos maiores problemas da nova economia digital, em especial com o advento da Internet das Coisas (IoT).

A Análise de Impacto Regulatório - AIR relata a estimativa de custo anual dos crimes cibernéticos para a economia global, na ordem de mais de 445 bilhões de dólares. Com a previsão de 200 bilhões de dispositivos IoT conectados à rede, estima-se que o custo alcance de 6 trilhões em 2021.

Seja pelo custo envolvido, como também pela característica da transnacionalidade dos ataques cibernéticos, o tema é um dos principais objetos de discussão nos mais importantes fóruns mundiais, como Assembleia Geral das Nações Unidas (AGNU), União Internacional de Telecomunicações (UIT), Escritório das Nações Unidas sobre Drogas e Crime (UNODC), Fórum Econômico Mundial, G20, Organização para a Cooperação e Desenvolvimento Econômico (OCDE), Fórum de Governança da Internet (IGF), Corporação para da Internet para Atribuição de Nomes e Números (ICANN), entre outros.

A AIR destaca a competência da Anatel para regulamentar a matéria no que tange à segurança das redes de telecomunicações, o que não afasta outros foros que podem recomendar, em complemento às competências desta Agência, requisitos técnicos sobre questões afetas à segurança de redes, como é o caso do CGI.br para questões de padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas, nos termos do §1º do artigo 13 do Decreto nº 8.771, de 11 de maio de 2016.

Não obstante ainda não haver regulamentação expedida pela Anatel, destacou-se na AIR o relevante papel do Brasil na discussão da temática no âmbito da União Internacional de Telecomunicações - UIT, assim como as diversas frentes já existentes no Brasil sobre o tema, o que envolve acordos de cooperação com outros países, a existência de um arcabouço legislativo adequado, grupos de trabalho interministeriais, entre outros.

Com fulcro em todas as experiências e estudos da matéria num contexto nacional e internacional, assim como com fulcro em subsídios colhidos do setor, a equipe de projeto identificou 5 (cinco) temas a serem aprofundados na AIR, como segue, destacando-se as alternativas escolhidas para tratamento de cada um deles:

Alternativa D – Indicação de área específica da Anatel responsável pelo acompanhamento do tema;

Alternativa C – Criação de plataforma de compartilhamento de informações na Anatel;

Alternativa D – Incumbência às prestadoras da criação de plataforma de compartilhamento de informações.

Subtema 2 - Estrutura organizacional, gestão da Segurança Cibernética e Infraestruturas críticas

Alternativa B – Estabelecimento de requisitos de gestão da segurança cibernética a todas as prestadoras, de forma equânime;

Alternativa C – Estabelecimento de requisitos de gestão da segurança cibernética às prestadoras de forma assimétrica e não exaustiva;

Alternativa B – Promoção, pela Anatel, de ações de conscientização e educação dos consumidores sobre segurança cibernética;

Alternativa C - Promoção, pelas prestadoras, de ações de conscientização e educação dos consumidores sobre segurança cibernética;

Alternativa D – Promoção, pela Anatel e prestadoras, de ações de conscientização e educação dos consumidores sobre segurança cibernética.

Alternativa B – Estabelecimento de compromisso de correção de vulnerabilidades por parte do fabricante do produto;

Alternativa C – Certificação e homologação de equipamentos de rede, levando em conta requisitos de segurança;

Alternativa D – Avaliações de segurança em produtos já homologados seguindo-se um processo de procura de falhas – Pós-venda específico;

Alternativa E – Criação de especificações para o projeto e a construção de produtos observando-se critérios específicos de segurança;

Alternativa F – Previsão de instrumentos autodeclaratórios em relação à segurança cibernética, para a certificação e homologação de equipamentos.

Alternativa B – Definição de requisitos exaustivos em regulamentação específica;

Alternativa C – Estabelecimento de diretrizes e comandos no âmbito de um fórum específico, com o apoio do Conselho Diretor;

Alternativa A – Manutenção das regras e requisitos de segurança cibernética atualmente aplicáveis ao armazenamento de dados pessoais por prestadoras de serviços de telecomunicações;

Alternativa B – Estabelecimento, além das regras já existentes nos normativos vigentes, de princípios de segurança cibernética aplicáveis ao armazenamento dos dados pessoais de consumidores por prestadoras de serviços de telecomunicações;

Alternativa C – Estabelecimento, além das regras já existentes nos normativos vigentes, de princípios e regras com detalhamento razoável sobre segurança cibernética, aplicáveis ao armazenamento dos dados pessoais de consumidores por prestadoras de serviços de telecomunicações.

A proposta de regulamentação foi objeto da Consulta Pública nº 52, de 24 de dezembro de 2018, que teve seu término em 25 de fevereiro de 2019.

De acordo com o Informe nº 40/2019/PRRE/SPR (SEI nº 4013678), a proposta recebeu 336 contribuições, sendo 191 por meio do Sistema de Acompanhamento de Consulta Pública (SACP) e 145 por outros meios, totalizando 336 contribuições.

Das contribuições recebidas, 96 delas foram realizadas por um mesmo usuário e, ou não apresentavam conteúdo, ou reclamavam da qualidade do serviço prestado, fugindo ao escopo da Consulta Pública. Outras 11 contribuições teciam comentários gerais ou elogiavam a proposta em Consulta.

As contribuições que efetivamente apresentaram proposta sobre a matéria em debate foram assim classificadas e divididas:

As contribuições recebidas foram devidamente analisadas (SEI nº 4013817 e 4013828) e a proposta submetida a Consulta sofreu alterações com fulcro nos comentários recebidos (SEI nº 4013837).

Ato contínuo, a nova proposta foi encaminhada à PFE que, por meio do Parecer nº 00763/2019/PFE-ANATEL/PGF/AGU (SEI nº 4792529) teceu comentários que implicaram em nova alteração da minuta (SEI nº 4886032), a qual passo a analisar.

A proposta de Resolução encaminhada para aprovação deste Conselho contém as seguintes providências:

aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, na forma do seu Anexo I;

aprova o Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública, na forma do seu Anexo II; e

altera o Título II do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998, passando a vigorar acrescido do Capítulo IV;

altera dispositivos do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010;

Cumpre observar que a proposta de Regulamento de Segurança Cibernética deve ser analisada à luz do Ofício nº 3/2020/DSI/SCS/GSI/PR (SEI nº 5118169), de 6 de dezembro de 2020, do Decreto nº 10.222, de 5 de fevereiro de 2020, e da Instrução Normativa nº 4, de 26 de março de 2020, todos posteriores ao encaminhamento dos autos pela área técnica.

O resultado dos estudos sobre a reavaliação da regulamentação relacionada a serviços públicos de emergência se traduziu em proposta de acréscimo de dispositivos no Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998, e no Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010.

Tal providência compila as normas hoje esparsas, além de estabelecer tratamento uniforme à matéria. Essa centralização das obrigações em instrumento regulamentar único decorre da análise do Tema 1 da AIR (SEI nº 2843562) com vistas a engajar o setor de telecomunicações em prol de ações de segurança pública.

No Regulamento dos Serviços de Telecomunicações, a área técnica propôs a inclusão, no seu Título II (Dos Serviços Prestados no Âmbito do Interesse Coletivo) de um novo Capítulo relativo às ações de apoio à segurança pública, dividido em quatro Seções: (i) Dos Serviços Públicos de Emergência; (ii) Da Prevenção às Fraudes; (iii) Do Sigilo das Telecomunicações; (iv) Do Grupo Técnico de Suporte à Segurança Pública.

Art. 65-A As prestadoras do Serviço Telefônico Fixo Comutado (STFC), do Serviço Móvel Pessoal (SMP) e do Serviço de Comunicação Multimídia (SCM) devem assegurar o acesso gratuito de todos os seus usuários aos serviços públicos de emergência previstos em regulamentação editada pela Anatel.

§ 1º As prestadoras referidas no caput deste artigo, em conjunto com as demais envolvidas na chamada, devem encaminhá-la ao respectivo provedor do serviço público de emergência.

§ 2º A gratuidade a que se refere o caput deste artigo estende-se aos valores associados à condição de usuário visitante do SMP.

§ 3º A prestadora de SMP deve, após solicitação dos provedores de serviços públicos de emergência, respeitadas as limitações tecnológicas, encaminhar as mensagens de texto de seus usuários destinadas ao respectivo serviço público de emergência.

§ 4º A Prestadora de SMP deve disponibilizar, aos responsáveis pelos serviços públicos de emergência, o acesso à informação sobre a localização das Estações Móveis originadoras das chamadas ou das mensagens de texto destinadas ao respectivo serviço público de emergência.

§ 5º A prestadora de STFC deve colocar ao dispor dos provedores dos serviços públicos de emergência o acesso à informação sobre a localização dos terminais fixos originadores das chamadas destinadas ao respectivo serviço público de emergência.

§ 6º Nas Unidades da Federação onde as soluções de localização previstas nos §§ 4º e 5º deste artigo estejam em funcionamento, quaisquer ações de segurança pública que necessitem de mecanismos de localização deverão fazer uso das mesmas soluções, salvo em caso de inviabilidade técnica.

§ 7º Os aspectos técnicos e operacionais relacionados aos §§ 3º, 4º, 5º e 6º deste artigo serão propostos e revistos periodicamente pelo Grupo de Trabalho previsto no art. 65-F, sob a coordenação da Agência, com participação das prestadoras de STFC, de SMP e dos provedores dos serviços públicos de emergência que manifestarem interesse, cabendo ao superintendente coordenador do Grupo de Trabalho aprovar tais aspectos.

§ 8º A Anatel dará ampla divulgação à agenda de reuniões e às discussões do Grupo de Trabalho de que trata o § 7º deste artigo.

§ 9º A Anatel poderá solicitar a indicação de representantes dos provedores de Serviços Públicos por Unidade da Federação caso avalie que a quantidade de interessados em participar do Grupo de Trabalho a que se refere o § 7º possa prejudicar o andamento das discussões.

§ 10º Na prestação dos serviços que dispõe o caput, a depender de viabilidade técnica, quando marcado o código de acesso 112 ou o código de acesso 911, as chamadas devem ser redirecionadas e encaminhadas ao respectivo serviço público de emergência brasileiro.

§ 11º Não será devido às prestadoras envolvidas qualquer tipo de remuneração pelo uso das redes ou qualquer outro recurso necessário ao correto encaminhamento das chamadas e mensagens destinadas aos serviços públicos de emergência.

§ 12º A Agência poderá determinar ações e prazos para implementação de regras previstas neste artigo.

§ 13 º As prestadoras a que se refere o caput devem priorizar em suas redes, quando tecnicamente possível, as chamadas e mensagens destinadas aos serviços de emergência e de segurança pública.

§ 14º As obrigações deste artigo são exigíveis das prestadoras a que se refere o caput que possuam recursos de numeração atribuídos.

Inicialmente destaco a abrangência dos dispositivos, que trazem obrigações para as prestadoras do Serviço Telefônico Fixo Comutado (STFC), do Serviço Móvel Pessoal (SMP) e do Serviço de Comunicação Multimídia (SCM) que possuam recurso de numeração atribuído.

Cumpre registrar que a revisão dos atuais regulamentos de numeração em trâmite na Agência têm, entre seus temas, a avaliação acerca da disponibilização de recursos de numeração para o SCM. Ainda, o Regulamento do SCM, aprovado pela Resolução nº 614, de 2013, já impunha obrigações às prestadoras desse serviço de encaminhar chamadas para Serviços de Emergência.

Não obstante isso, para deixar mais claro que a obrigação só é válida para as prestadoras que tenham recurso de numeração atribuído, a área técnica optou por prever expressamente tal condição em razão do teor de contribuições recebidas em Consulta Pública.

Embora tenha havido contribuição em Consulta Pública para a inclusão das prestadoras do Serviço Móvel Global por Satélite (SMGS) como destinatária da norma, a área técnica justificou ser tal serviço tecnicamente diferente, razão pela qual deveria continuar a ser tratado na Norma 16, de 1997.

Concordo com a justificativa apresentada pela área técnica. Cumpre notar que as disposições previstas na proposta nem sempre são de simples implementação, como por exemplo a obrigatoriedade de envio de mensagens de texto e da localização dos terminais aos provedores dos Serviços Públicos de Emergência - SPEs. Tais aplicações só foram possíveis após vários estudos de viabilidade e de soluções tecnológicas tanto aplicáveis à rede das prestadoras para o encaminhamento em tempo adequado de tal conteúdo, como pelos SPEs para o recebimento da informação. Em razão das particularidades do SMGS, não é possível simplesmente estender a essas prestadoras as regras sem os devidos estudos sobre a sua viabilidade técnica.

Um dos pontos que julguei pertinente endereçar na presente Seção e não na Seção específica que trata do Grupo Técnico de Suporte à Segurança Pública (GT-Seg) foi a previsão de participação dos provedores dos SPEs, como convidados, no GT-Seg.

Acredito que assim o fazendo, promove-se um melhor alinhamento com o tema 2 da AIR, que expôs a dificuldade de se mobilizar as instituições públicas em aderir às iniciativas e discussões em pauta na Anatel.

Art. 65-B As prestadoras de serviços de telecomunicações devem adotar as medidas técnicas e administrativas necessárias e disponíveis para prevenir a ocorrência de fraudes relacionadas à prestação do serviço, bem como para reverter ou mitigar os efeitos destas ocorrências.

Parágrafo único. Na implementação de ações coordenadas de combate à fraude, os custos e os benefícios devem ser compartilhados entres as prestadoras participantes, considerando-se o porte da empresa.

Na presente Seção, propus um pequeno ajuste no intuito de prever a necessidade de que a prestadora aja não só para prevenir a ocorrência de fraudes, mas também para fazer cessar a conduta fraudulenta, seja ela relacionada à prestação do serviço como também no uso das redes de telecomunicações.

Vale notar que o artigo 4º da Lei Geral de Telecomunicações estabelece como dever do usuário utilizar adequadamente os serviços, equipamentos e redes de telecomunicações, e que a prevenção, reversão e a mitigação da ocorrência de fraude, previstas no art. 65-B, na prática já abrangiam medidas para fazer cessar a conduta fraudulenta, mas considerei por bem prever expresamente esta ação para reforçar sua importância da ação, especialmente em razão da introdução normativa de questões atinentes à segurança cibernética nas redes de telecomunicações.

A Seção III versa sobre o sigilo das telecomunicações, constando o que segue da minuta encaminhada pela área técnica:

Art. 65-C As prestadoras de serviços de telecomunicações devem zelar pelo sigilo das comunicações e pela confidencialidade dos dados dos usuários de seus serviços, inclusive registros de conexão, empregando os meios e tecnologias necessários e disponíveis para tanto, nos termos da legislação em vigor.

§ 1º As prestadoras devem utilizar os recursos tecnológicos necessários e disponíveis para assegurar a inviolabilidade do sigilo das comunicações, em especial, no caso do SMP e outros serviços que utilizem radiofrequências na rede de acesso, nos enlaces radioelétricos entre a Estação Rádio Base e a Estação Móvel.

§ 2º As prestadoras de serviços de telecomunicações devem reter a menor quantidade possível de dados de usuários, incluindo registros de conexão, os quais serão mantidos sob sigilo, em ambiente controlado e de segurança, e excluídos:
I - tão logo atingida a finalidade de seu tratamento; ou
II - se encerrado o prazo determinado por obrigação legal ou regulatória.

§3º A fim de assegurar a permanente fiscalização e o acompanhamento de obrigações regulatórias e legais, as prestadoras devem manter à disposição da Anatel os dados relativos à prestação do serviço, incluindo, conforme o caso e observada a regulamentação pertinente:

I - documentos de natureza fiscal, dados cadastrais dos assinantes e dados de bilhetagem e das ligações efetuadas e recebidas, bem como data, horário, duração e valor da chamada pelo prazo mínimo de 5 (cinco) anos, nos serviços que permitam a realização de tráfego telefônico;

II - registros de conexão à internet pelo prazo mínimo de 1 (um) ano nos serviços que permitam a conexão à internet.

§4º Para fins do disposto neste artigo, considera-se como registro de conexão à internet o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal, assim como as portas lógicas utilizadas quando do compartilhamento de IP público, para o envio e recebimento de pacotes de dados.

Art. 65-D As prestadoras de serviços de telecomunicações devem tornar disponíveis os recursos tecnológicos, facilidades e dados necessários à suspensão de sigilo de telecomunicações, determinada por autoridade judiciária ou legalmente investida desses poderes, e manter controle permanente de todos os casos, acompanhando a efetivação dessas determinações, e zelando para que elas sejam cumpridas, dentro dos estritos limites autorizados.

§ 1º Os equipamentos e programas necessários à suspensão do sigilo devem integrar a plataforma da prestadora, que deve arcar com os respectivos custos.

§ 2º Os custos operacionais relacionados a cada suspensão de sigilo poderão ter caráter oneroso.

§ 3º A Anatel deve estabelecer as condições técnicas específicas para disponibilidade e uso dos recursos tecnológicos e demais facilidades referidas neste artigo, observadas as disposições constitucionais e legais que regem a matéria.

Art. 65-E Não constitui quebra de sigilo a identificação, pelo usuário chamado, do usuário originador da chamada, quando este não opuser restrição à identificação de seu código de acesso.

§ 1º As prestadoras de STFC, de SMP e de SCM devem oferecer, observadas as condições técnicas, a facilidade de restrição de identificação prevista no caput, quando solicitado.

§ 2º A restrição de identificação prevista no caput não atinge as ligações destinadas aos serviços públicos de emergência, aos quais deve ser sempre permitida a identificação do código de acesso do usuário originador da chamada.

§ 3º As prestadoras de STFC, de SMP e de SCM devem oferecer ao usuário, observadas as condições técnicas e quando solicitado, a facilidade de bloqueio da chamada a ele dirigida que não trouxer a identificação do código de acesso do assinante que a originou.

§ 4º As obrigações deste artigo são exigíveis das prestadoras a que se refere o caput que possuam recursos de numeração atribuídos.

Ajustes pontuais foram por mim propostos, com o intuito de garantir a mesma coesão textual com as demais disposições do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998.

A maior inovação no tema de segurança pública está abarcada na Seção IV. A proposta encaminhada a este Conselho cria o Grupo Técnico de Suporte à Segurança Pública (GT-Seg), como segue:

Art. 65-F. Fica constituído o Grupo Técnico de Suporte à Segurança Pública (GT-Seg), com as seguintes atribuições, dentre outras estabelecidas neste regulamento:

I – auxiliar a Anatel no acompanhamento da implantação de políticas relacionadas à segurança pública;

II – discutir, avaliar e recomendar à Anatel a internalização de padrões, melhores práticas, ações e iniciativas em matéria de segurança pública e combate a fraude de fóruns regionais e internacionais de telecomunicações, em colaboração com as CBCs;

IV – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Agência;

V – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação na Agência;

VI – auxiliar a Anatel no acompanhamento das ações de combate à fraude nos serviços de telecomunicações afetas à segurança pública; e

VII – desempenhar outras atividades atribuídas pelo Conselho Diretor da Anatel.

§ 1º O grupo será coordenado por Superintendente da Anatel, designado por Portaria do Conselho Diretor da Anatel, e terá participação dos representantes das prestadoras ou de suas associações.

§ 2º As decisões sobre os assuntos pautados no grupo serão tomadas por consenso entre os representantes ou, não havendo consenso, pelo Superintendente da Anatel coordenador do Grupo.

§ 3º Caberá recurso de decisão proferida pelo Superintendente coordenador do Grupo ao Conselho Diretor da Agência, nos termos do contido no capítulo V do Título V do Regimento Interno da Anatel.

§ 4º O grupo poderá ser organizado em subestruturas, a serem definidas pelo respectivo coordenador, de acordo com a conveniência e temática dos trabalhos.

§ 5º Será possível a participação de membros externos convidados, conforme o tema em discussão, sem poderes para deliberação. (NR)"

Na descrição da AIR do presente tema, conforme abordei acima, a área técnica cita a existência de diversos grupos de trabalho sobre o tema na Agência, todos com resultados exitosos.

A proposta acima institucionaliza esses grupos de trabalho, dando maior visibilidade à sociedade, promovendo um adequado direcionamento de demandas e implementação de resultados das discussões.

As alterações por mim promovidas, de modo geral, tem por contexto trazer maior clareza à norma, transformando os parágrafos propostos em artigos, de forma que cada tema seja tratado em um dispositivo específico, ou simplificando o texto proposto e excluindo duplicidades.

A minuta de Resolução prevê, ainda, alterações no Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, relacionadas ao tema "segurança pública".

A área técnica propôs uma regra transitória para a adaptação dos contratos entre prestadoras e Autorizadas de Rede Virtual ou Credenciados de Rede Virtual, alterando também a Resolução nº 550, de 2010. Em que pese a necessidade de tal previsão, julgo ser mais pertinente sua previsão na Resolução que ora se propõe aprovar e não no Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP).

A minuta de Resolução também prevê a revogação integral da Resolução nº 656, de 17 de agosto de 2015, que aprovou o Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública.

O conteúdo de tal Resolução foi trazido para o Anexo II da presente proposta, tendo em vista a pertinência temática com o tema de segurança pública e de segurança cibernética, à exceção do Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações - GGRR.

Em razão da semelhança entre as atividades do GGRR com as atribuições relativas ao grupo técnico previsto previsto na minuta de Regulamento de Segurança Cibernética, as atribuições foram compiladas em um único grupo.

Adicionalmente, a proposta prevê revogações parciais nos regulamentos de serviços, fruto da compilação das normas sobre segurança pública então esparsas na regulamentação.

Por fim, adequei a entrada em vigor da Resolução ao previsto nos incisos I e II do art. 4º, do Decreto nº 10.139, de 2019, verbis:

Art. 4º Os atos normativos estabelecerão data certa para a sua entrada em vigor e para a sua produção de efeitos:

A minuta de Resolução encaminhada pela área técnica (SEI nº 4863483) prevê a aprovação do Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, objeto de seu Anexo I.

REGULAMENTO DE SEGURANÇA CIBERNÉTICA APLICADA AO SETOR DE TELECOMUNICAÇÕES

Art. 1º Este Regulamento tem por objetivo estabelecer procedimentos e condutas para a promoção da Segurança Cibernética nas redes e serviços de telecomunicações.

Art. 2º Para fins deste Regulamento, aplicam-se as seguintes definições, além das demais previstas na regulamentação:

I - Infraestruturas Críticas de Telecomunicações: instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;

II - Risco: combinação das consequências de um evento e da probabilidade de ocorrência associada;

III - Segurança Cibernética: conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos, ações de treinamento, melhores práticas, garantias e tecnologias que podem ser usados para proteger o ambiente cibernético e ativos de usuários e de organizações;

IV - Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

I – a adoção de boas práticas e normas internacionais referentes à segurança cibernética;

III – a utilização segura e sustentável das redes e serviços de telecomunicações;

IV – a identificação, proteção, diagnóstico, resposta e recuperação de incidentes de segurança cibernética;

V – a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;

VI – respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e

VII – o incentivo à adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

DO GRUPO TÉCNICO DE SEGURANÇA CIBERNÉTICA E GESTÃO DE RISCOS DE INFRAESTRUTURA CRÍTICA

Art. 4º Fica constituído o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), com as seguintes atribuições, dentre outras estabelecidas neste regulamento:

I – auxiliar a Anatel no acompanhamento da implantação da política de segurança cibernética pelas prestadoras;

II – acompanhar o procedimento de compartilhamento de informações sobre incidentes relevantes adotado pelas prestadoras de serviços de telecomunicações;

III – discutir, avaliar e recomendar à Anatel a internalização de padrões, melhores práticas, ações e iniciativas em matéria de segurança cibernética de fóruns regionais e internacionais de telecomunicações, em colaboração com as Comissões Brasileiras de Comunicações (CBCs);

IV – interagir com as CBCs para construção e defesa dos posicionamentos brasileiros nos órgãos regionais e internacionais de telecomunicações nos temas referentes à segurança cibernética;

V - elaborar estudos e propor aprimoramentos à regulamentação e a decisões administrativas de âmbito setorial em matéria de segurança cibernética;

VI – acompanhar o surgimento de novas tecnologias e ameaças para avaliar seu impacto na utilização segura e sustentável das redes e serviços de telecomunicações;

VIII – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Agência;

IV – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação e relações com consumidores na Agência;

X – discutir e sugerir a promoção de ações e iniciativas para o fomento do cumprimento pelas Prestadoras de Pequeno Porte das obrigações regulamentares impostas por este regulamento.

XI – discutir e propor as definições de incidente relevante e de prazo razoável previstos no §7º do art. 7º deste regulamento;

XII - elaborar os procedimentos a serem adotados para a proteção do sigilo e a segurança das informações sensíveis, em posse da Anatel, relativas à Política de Segurança Cibernética; e

XIII – desempenhar outras atividades atribuídas pelo Conselho Diretor da Anatel.

§ 1º O grupo será coordenado por Superintendente da Anatel, designado por Portaria do Conselho Diretor, e terá participação dos representantes das prestadoras ou de suas associações.

§ 2º As decisões sobre os assuntos pautados no grupo serão tomadas por consenso entre os representantes ou, não havendo consenso, pelo Superintendente da Anatel coordenador do Grupo.

§ 4º O grupo poderá ser organizado em subestruturas, a serem definidas pelo respectivo coordenador, de acordo com a conveniência e temática dos trabalhos.

§ 5º Será possível a participação de membros externos convidados, conforme o tema em discussão, sem poderes para deliberação.

Art. 5º As prestadoras de serviços de telecomunicações devem elaborar, implementar e manter política de segurança cibernética com base nos princípios estabelecidos no art. 3º e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados em suas redes.

§ 1º As prestadoras devem publicar, em sua página na Internet, com linguagem compreensível, as diretrizes e princípios de sua política de segurança cibernética.

§ 2º A Política de Segurança Cibernética de que trata o caput deve ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da prestadora.

Art. 6º As disposições deste Regulamento aplicam-se a todas as prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, nos termos da regulamentação.

§ 1º O Conselho Diretor, por meio de Ato devidamente motivado, poderá incluir ou dispensar da incidência das disposições deste Regulamento as prestadoras de serviços de telecomunicações de interesse restrito ou coletivo, independentemente do porte, bem como empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações.

§ 2º Os princípios estabelecidos no art. 3º devem ser observados por todas as prestadoras de serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte, ainda que dispensadas do cumprimento das demais disposições deste regulamento.

§ 3º O GT-Ciber poderá propor ações e iniciativas a serem adotadas pelas prestadoras dispensadas do cumprimento das demais disposições deste regulamento, de forma que os princípios estabelecidos no art. 3º sejam seguidos.

§ 4º A dispensa da incidência das disposições deste Regulamento não isenta, em qualquer caso, as prestadoras de serviços de telecomunicações do cumprimento de outras disposições legais e regulamentares em vigor.

Art. 7º As prestadoras são integralmente responsáveis pelos ônus decorrentes da adoção e execução da Política de Segurança Cibernética.

II – os procedimentos e controles adotados para reduzir as vulnerabilidades em suas redes de telecomunicações;

III – o registro, a análise da causa e do impacto, bem como a mitigação dos efeitos de incidentes relevantes, conforme definição do GT-Ciber, sob coordenação da Anatel;

IV – os procedimentos para a disseminação da cultura de segurança cibernética e capacitação dentro da empresa;

V – os procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes e outras informações relativas a segurança cibernética;

VI – o plano de resposta a incidentes, definindo ações, recursos e responsabilidades;

VII – os procedimentos relativos ao armazenamento seguro dos dados de seus usuários, nos termos da legislação vigente;

VIII – o plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de segurança cibernética;

IX - a estrutura da equipe responsável pela política, contendo a identificação dos responsáveis ou área competente, destacando o ponto focal de contato na empresa para situações de urgência;

X - a identificação e a análise das vulnerabilidades, das ameaças e dos riscos associados à Segurança Cibernética;

XI - a identificação das vulnerabilidades das Infraestruturas Críticas de Telecomunicações e dos riscos associados à continuidade dos serviços de telecomunicações;

XIII - a identificação e, quando for o caso, a adoção de padrões e normas nacionais ou internacionais pertinentes; e

XIV - o mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários.

§ 1º A Política de Segurança Cibernética deve ser aprovada pelo conselho de administração ou o órgão de deliberação colegiado equivalente das prestadoras e atualizada ou revisada com a periodicidade adequada.

§ 2º As prestadoras deverão designar diretor responsável pela política de segurança cibernética, o qual poderá desempenhar outras funções na empresa, desde que não haja conflito de interesses.

§ 3º A Política de Segurança Cibernética deve ser disseminada aos profissionais afetos da prestadora e aos colaboradores terceirizados, em seus diversos níveis, estabelecendo papéis e responsabilidades, resguardando-se o compartilhamento das informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, no que couber.

§ 4º Os documentos relacionados à Política de Segurança Cibernética, bem como os documentos que comprovem sua aprovação, deverão estar disponíveis para a Anatel sempre que solicitados.

§ 5º Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a prestadora responsável por cada função, quando aplicável.

§ 6º As prestadoras devem promover, dentre as ações decorrentes dos procedimentos e controles previstos no inciso II, a alteração da configuração padrão de autenticação em equipamentos fornecidos, em regime de comodato, a seus usuários.

§ 7º Devem ser comunicados aos usuários e à Agência, sem prejuízo de outras obrigações legais de comunicação, em prazo razoável, quaisquer incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações, incluindo todos aqueles que atinjam a confidencialidade dos dados dos usuários dos serviços de telecomunicações sob a guarda das prestadoras.

§ 8º Os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações a que se refere o parágrafo anterior, assim como o prazo razoável, serão definidos pelo coordenador do GT-Ciber.

§ 9º Os responsáveis pela política de segurança cibernética junto às prestadoras devem, anualmente ou sempre que solicitados, apresentar à Agência, relatório sobre o acompanhamento de execução da política.

Art. 9º As prestadoras de serviços de telecomunicações devem adotar procedimento de compartilhamento de informações sobre incidentes relevantes e outras informações relativas à segurança cibernética de forma sigilosa e não discriminatória, sendo facultado o anonimato, incentivando-se a participação de todas as prestadoras de serviços de telecomunicações e buscando a coordenação com as demais entidades relevantes.

Art. 10. As prestadoras de serviços de telecomunicações deverão realizar ciclos de avaliação de vulnerabilidades relacionadas à segurança cibernética.

§ 1º A avaliação de que trata o caput deverá ser realizada por empresa especializada e independente e os resultados deverão ser compartilhados com a Anatel;

§ 2º A periodicidade e os aspectos a serem considerados na avaliação de que trata o caput serão definidos pelo coordenador do GT-Ciber.

Art. 11. As prestadoras de serviços de telecomunicações deverão enviar, nos prazos e no formato definidos pelo coordenador do GT-Ciber, informações de sua infraestrutura crítica de telecomunicações, abrangendo, no mínimo, dados de rede e mapeamento geográfico das estruturas físicas e rotas.

Parágrafo único. A identificação das infraestruturas críticas de telecomunicações depende do contexto de gestão de riscos que será definido pelo coordenador do GT-Ciber, observadas as diretrizes governamentais sobre a temática.

Art. 12. A Anatel promoverá o acompanhamento da política de segurança cibernética, observando os princípios dispostos no art. 3º deste Regulamento.

Art. 13. Sem prejuízo da adoção de outras medidas necessárias para o cumprimento do disposto neste Regulamento, a Anatel poderá estabelecer a exigência de requisitos técnicos e ações na operação e manutenção das redes de telecomunicações quanto à segurança cibernética.

Art. 14. Aspectos de segurança cibernética poderão ser levados em consideração nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações, nos termos da regulamentação específica.

Art. 15. A infração a este Regulamento sujeita os infratores às sanções administrativas previstas na Lei nº 9.472, de 16 de julho de 1997, bem como no Regulamento de Aplicação de Sanções Administrativas da Anatel.

Parágrafo único. Considera-se infração a este Regulamento a inobservância de comandos normativos quando não regularizadas em prazo razoável estabelecido pela Agência.

Art. 16 As prestadoras de serviços de telecomunicações devem se adequar ao disposto neste Regulamento em até 180 (cento e oitenta) dias de sua entrada em vigor.

Após o encaminhamento da proposta a este Conselho, o Gabinete de Segurança Institucional da Presidência da República - GSI, remeteu à Anatel o Ofício nº 3/2020/DSI/SCS/GSI/PR, de 6 de dezembro de 2020 (SEI nº 5118169), versando sobre requisitos mínimos de Segurança Cibernética da Tecnologia 5G (Processo nº 53500.001429/2020-00).

Adicionalmente, foi aprovado o Decreto nº 10.222, de 5 de fevereiro de 2020, dispondo sobre a Estratégia Nacional de Segurança Cibernética, "orientação manifesta do Governo federal à sociedade brasileira sobre as principais ações por ele pretendidas, em termos nacionais e internacionais, na área da segurança cibernética", com validade no quadriênio 2020-2023.

Por fim, em 26 de março de 2020, o Gabinete de Segurança Institucional da Presidência da República publicou a Instrução Normativa nº 4, dispondo sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G.

Todos esses documentos jogam luz sobre as competências da Anatel relacionadas à segurança cibernética aplicada ao Setor de Telecomunicações, seja na expedição de requisitos técnicos pela Superintendência de Outorga e Recursos à Prestação - SOR, seja na expedição de atos normativos por este Conselho Diretor ou de outras questões relacionadas ao tema.

Considerando que tais documentos são posteriores ao encaminhamento, pela área técnica, da minuta de regulamento ora em análise, entendi necessário promover alguns ajustes na proposta.

Vale ressaltar, inicialmente, que a proposta em debate possui uma vertente mais diretiva e principiológica, integralmente alinhada com as orientações mais gerais dadas pelo Ofício nº 3/2020/DSI/SCS/GSI/PR, pelo Decreto nº 10.222, de 2020, e pela Instrução Normativa nº 4, de 2020.

A proposta aborda desde a recomendação de adesão às melhores práticas e normas nacionais e internacionais, até a utilização de protocolos específicos na implementação de funcionalidades técnicas na rede, por exemplo.

Quanto à abordagem técnica introduzida pelo Ofício nº 3/2020/DSI/SCS/GSI/PR e pela Instrução Normativa nº 4, de 2020, a minuta em análise difere em seu endereçamento, na medida em que não faz uma abordagem explícita desses pontos. Explico.

Os documentos do GSI preveem requisitos específicos de operação de rede, que embora não estejam expressamente previstos na proposta, são de alguma forma abarcados nela por meio de ferramentas que permitem provocar uma mudança de conduta, caso necessário.

Vale ressaltar que segurança no ambiente cibernético é algo extremamente dinâmico e complexo, envolvendo uma diversidade de atores que interagem com as redes de telecomunicações, não se limitando a prestadoras e fabricantes.

A Recomendação nº 1051 da União Internacional de Telecomunicações - UIT ( https://www.itu.int/rec/T-REC-X.1051-201604-I/en ), anexada à presente Análise, dá um panorama da complexidade dessa cadeia, abordando todos os aspectos de segurança que uma prestadora de telecomunicações deve observar.

Dessa forma, julgo que o estabelecimento de requisitos técnicos em regulamentos ou instrumentos de rigidez similar não é a abordagem mais adequada. A proposta de regulamento, como dito, não contraria ou impede a adoção destas ou de outras medidas.

Nessa linha, a proposta em análise endereça a abordagem e tratamento dos requisitos técnicos, como os tratados nos referidos documentos oriundos do GSI ao grupo de trabalho que está sendo criado e que abordarei mais detalhadamente adiante.

Faço essa breve introdução, pois entendo importante ressaltar que a materialização de tais requisitos técnicos, a sua implementação na rede das prestadoras, carece também de estudos práticos que não foram objeto do presente trabalho.

Assim é que a proposta remete o debate para o grupo de trabalho, que, com os devidos estudos, expedirá recomendações a serem incorporadas pela Anatel em seus atos administrativos.

A proposta encaminhada pela área técnica previa uma Seção inicial que tratava apenas do objetivo do regulamento.

Ao longo do texto, alguns artigos versavam sobre a abrangência da norma, prevendo a sua aplicação às prestadoras de serviços de telecomunicações de interesse coletivo como regra geral.

Algumas exceções foram estabelecidas, como a aplicação de diretrizes mais gerais às Prestadoras de Pequeno Porte e a possibilidade de que o Conselho Diretor da Anatel inclua ou dispense, motivadamente, prestadoras de serviços de telecomunicações de interesse restrito ou coletivo, independentemente do porte, bem como empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações da incidência das disposições regulamentares.

Além disso, um dos parágrafos prevê expressamente que a dispensa da incidência das disposições do regulamento não isenta, em qualquer caso, as prestadoras do cumprimento de outras disposições legais e regulamentares em vigor, como é o caso, por exemplo, dos requisitos técnicos.

Inicialmente, considerei pertinente alterar o nome da Seção para abarcar a abrangência da norma, deixando claro, de antemão, seu âmbito de aplicação.

Ressalto a extrema importância do dispositivo que faculta a este Conselho incluir ou dispensar alguma prestadora das disposições deste regulamento, uma vez que o tema segurança cibernética é bastante sensível.

Outro ponto que julguei pertinente endereçar, em alinhamento com a Instrução Normativa nº 4, de 2020, foi ampliar a incidência das disposições regulamentares mais principiológicas a todas as pessoas naturais ou jurídicas envolvidas na mitigação de riscos cibernéticos nas redes de telecomunicações.

Assim o fazendo, busca-se do Setor, da cadeia abarcada pelas redes de telecomunicações (supply chain), uma postura mais proativa em torno de um programa de conformidade (compliance).

A proposta encaminhada pela área técnica trazia uma série de incisos tratados como princípios. No entanto, entendo que tais disposições tem mais relação com aspectos de atuação, com meta organizacional, razão pela qual achei mais pertinente tratá-las por "diretrizes".

Como dito acima, propus a aplicação de tais diretrizes não só às prestadoras, independentemente do porte, mas também a todas as pessoas naturais ou jurídicas envolvidas na mitigação de riscos cibernéticos nas redes de telecomunicações.

Vale ressaltar que algumas dessas diretrizes estão alinhadas com as ações estratégicas previstas no Decreto nº 10.222, valendo citar, por exemplo:

Por fim, uma das diretrizes previstas na proposta está em plena consonância com os fundamentos da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 2018, ao prever o "respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações".

(iii) Do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica

Um ponto que considero fundamental na proposta é a criação do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).

Como dito acima, o tema segurança cibernética é bastante dinâmico, complexo, envolvendo uma cadeia muito ampla de atores.

O GT-Ciber tem por competência auxiliar a Anatel nessas questões, visando o aprimoramento das normas, inclusive nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações, como também interagindo para a construção e defesa de posicionamentos brasileiros nos órgãos regionais e internacionais de telecomunicações sobre o tema.

Outro aspecto relevante refere-se ao acompanhamento de procedimentos de compartilhamento de informações sobre incidentes relevantes a serem adotados pelas prestadoras e o estudo e definição técnica de conceitos relevantes introduzidos pela regulamentação, quais sejam, "incidente relevante" e "prazo razoável", que merecem aprofundamento para fins de se ter um valor de referência.

O primeiro, tendo em vista a pertinência temática e a junção das atribuições do Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações - GGRR ao GT-Ciber, optei por deixar expresso em suas atribuições o auxílio à Anatel da gestão das Infraestruturas Críticas.

Ainda, embora já previsto no capítulo sobre a atuação da Anatel, considerei pertinente ressaltar que o GT-Ciber tem por atribuição propor aprimoramentos nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações.

Dada a relevância da matéria, propus também uma alteração no inciso X para abarcar não só as Prestadoras de Pequeno Porte, mas em linha com o que antes estava previsto no §3º do art. 6º da proposta da área técnica, estender para todas as prestadoras dispensadas do cumprimento das disposições da norma.

Quanto à dinâmica de trabalho do GT-Ciber, julguei pertinente orientar as tratativas a serem dadas pelo Superintendente coordenador às proposições do GT-Ciber.

Ainda, também dada a relevância da matéria, excluí a previsão de que membros externos convidados a participar do grupo não tenham poder de deliberação. Vale ressaltar que, em não havendo consenso, a decisão cabe ao Superintendente coordenador ou, havendo recurso de sua decisão, a este Conselho Diretor.

No capítulo destinado a tratar da Política de Segurança Cibernética, o artigo introdutório previa três diretrizes a serem adotadas pelas prestadoras na elaboração, implementação e manutenção de sua Política.

Com a edição da Instrução Normativa nº 4, de 2020, essas "diretrizes" foram tratadas como "princípios", aos quais se incorporaram mais alguns, verbis:

Art. 4º Os requisitos mínimos de segurança cibernética constantes da presente norma atendem aos seguintes princípios de:

Nesse passo, proponho incorporar tal regramento à presente proposta, também os tratando por princípios, vez que trazem um caráter mais valorativo.

Assim como as diretrizes, propus a aplicação de tais princípios não só às prestadoras, independentemente do porte, mas também a todas as pessoas naturais ou jurídicas envolvidas na mitigação de riscos cibernéticos nas redes de telecomunicações.

Os parágrafos e artigos que se seguiam foram realocados, por vezes com ajuste de redação, para outros dispositivos, à exceção do §3º do art. 6º da minuta da área técnica, que foi excluído por já constar nas atribuições do GT-Ciber.

Acrescentei ao dispositivo o compromisso da empresa em adquirir equipamentos de fornecedores que também possuam uma política de segurança cibernética e realizem processo de auditoria independente periódico, o que entendo encontrar respaldo no Decreto nº 10.222 e na Instrução Normativa nº 4.

Necessário mencionar que os dispositivos do presente Capítulo, assim como as diretrizes, encontram respaldo e endereçam ações estratégicas previstas no Decreto nº 10.222, cabedo citar:

As demais alterações por mim propostas são meramente textuais, de forma que não vejo relevância em sua exposição.

Diante do exposto, proponho aprovar a Resolução que aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, o Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública e dá outras providências, nos termos do documento SEI nº 5497305.

Recomendação nº 1051 da União Internacional de Telecomunicações - UIT (SEI nº 5497838);

Pelo exposto, voto por aprovar a Resolução que aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, o Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública e dá outras providências, nos termos do documento SEI nº 5497305

Documento assinado eletronicamente por Moisés Queiroz Moreira, Conselheiro, em 30/04/2020, às 19:20, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 5233452 e o código CRC 5403EE73.

Ação estratégica	Diretriz
2.3.1 adotar, além dos normativos de governança emitidos pelo Gabinete de Segurança Institucional da Presidência da República, normas, padrões e modelos de governança reconhecidos mundialmente	adoção de boas práticas e normas internacionais referentes à Segurança Cibernética
2.3.1 adotar, a indústria, padrões internacionais no desenvolvimento de novos produtos desde sua concepção(privacy/security by design and default)	incentivo à adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações
2.3.3 estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas;	identificação, proteção, diagnóstico, resposta e recuperação de incidentes de Segurança Cibernética; e cooperação entre os diversos agentes envolvidos com fins de mitigação dos Riscos cibernéticos
2.3.10 utilização segura do ambiente digital	utilização segura e sustentável das redes e serviços de telecomunicações
2.3.10. criar políticas públicas que promovam a conscientização da sociedade sobre segurança cibernética;	disseminação da cultura de Segurança Cibernética

Ação estratégica	Proposição normativa
adoção de práticas e de requisitos de segurança cibernética no desenvolvimento de novos produtos, programas, projetos e ações	Art. 7º
exigência de que fornecedores de equipamentos, de programas computacionais e de serviços adotem os níveis de segurança cibernética recomendados pelos organismos de padronização nacionais e internacionais	Art. 7º
capacitação contínua de seus colaboradores em todos os níveis	Art. 7º
comunicação aos consumidores em caso de incidente que comprometa a segurança de seus dados, nos termos da legislação em vigor	Art. 7º
promoção de campanhas de conscientização sobre a importância de atitudes e de cuidados por parte dos usuários	Art. 7º
previsão de elaboração de planos de resposta a incidentes e de recuperação dos ambientes críticos que podem ser impactados pelos incidentes cibernéticos	Art. 7º
criação de CSIRTs por empresa e por setor, com mecanismos de colaboração e de troca de informações entre eles	Art. 9º
notificação ao CTIR Gov, no menor prazo possível, sobre a ocorrência de incidentes cibernéticos	Art. 9º
inserção de planos anuais de auditoria externa em segurança cibernética	Arts. 7º e 10

Contribuições	Segurança Pública	Segurança Cibernética	Comitê
SACP	35	39	15
Outros meios	65	47	28