SEI/ANATEL - 4013678

Reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações, do item nº 7 da Agenda Regulatória para biênio o 2019-2020.

Lei n° 9.472, de 16 de julho de 1997 – Lei Geral de Telecomunicações (LGT);

Decreto 9.637, de 28 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, no âmbito da administração pública;

Decreto nº 8.771, de 11 de maio de 2016, que regulamenta o Marco Civil da Internet;

Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998;

Regulamento do Serviço de Comunicação Multimídia, aprovado pela Resolução nº 614, de 28 de maio de 2013;

Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477, de 7 de agosto de 2007;

Regulamento do Serviço Telefônico Fixo Comutado – STFC, aprovado pela Resolução nº 426, de 9 de dezembro de 2005;

O presente Informe visa analisar as contribuições à Consulta Pública nº 52, de 24 de dezembro de 2018, que teve seu término em 25 de fevereiro de 2019, e apresentar as alterações decorrentes à proposta de reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações, fazendo a observância dos preceitos legais.

A proposta de revisão regulamentar originalmente constava da Agenda Regulatória para o biênio 2017-2018, nos itens nº 41 e 58, cujas metas para elaboração de relatório de Análise de Impacto Regulatório (AIR) e realização de Consulta Pública da referida Agenda foram devidamente cumpridas. A Agenda Regulatória para o biênio 2019-2020, que foi aprovada pela Portaria nº 542,de 26 de março de 2019, previu o projeto regulamentar em seu item nº 7, com meta para aprovação final até o término de 2019.

A Consulta Pública recebeu um total de 336 contribuições, sendo 191 por meio do Sistema de Acompanhamento de Consulta Pública (SACP) e 145 por outros meios.

Entre os contribuintes da Consulta Pública estão pessoas físicas, Procon, Algar, Telcomp, Brasscom, Sinditelebrasil, Nextel, Telefonica, TIM, Oi e Claro.

Com intuito de estruturar a análise, as contribuições foram classificadas em cinco temas diferentes, como disposto na tabela a seguir:

A totalidade das contribuições foi analisada, sendo elaboradas as respectivas minutas de resposta, conforme disposto nos documentos (SEI nº 4013817 e SEI nº 4013828). A esse respeito, serão destacadas, a seguir, as contribuições consideradas mais relevantes.

Nas contribuições via SACP, houve uma grande quantidade de contribuições vazias (96) realizadas por um mesmo usuário. Este usuário, nas contribuições em que apresentou algum conteúdo, reclamava da qualidade de serviço prestado, o que foge ao escopo da presente Consulta Pública.

Trata-se de contribuições com comentários gerais sobre a proposta, sem discorrer sobre itens específicos, de forma tal que não foram realizadas alterações decorrentes destas contribuições.

As contribuições relativas à "Segurança Pública" foram aquelas referentes aos arts. 4º ao 7º da proposta de Resolução que alteram o Regulamento dos Serviços de Telecomunicações e Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovados pelas Resolução nº 73, de 25 de novembro de 1998 e Resolução nº 550, de 22 de novembro de 2010, respectivamente. A seguir, sumarizou-se tais contribuições em subtemas de forma a facilitar a análise das contribuições.

Inicialmente, cumpre relembrar que a proposta da Agência quanto a este tema, objeto da Consulta Pública em análise, tem como objetivo definir na regulamentação as premissas gerais relacionadas à interação com as entidades de segurança pública, combate à fraude e outras atividades de suporte à segurança pública pelo setor de telecomunicações. Além disso, a proposta ainda prevê a criação de um Grupo Técnico coordenado pela Anatel, com a participação das prestadoras de serviços de telecomunicações e representantes de instituições ligadas ao tema, que tem em seu escopo discutir com todos os atores envolvidos as implicações técnicas e financeiras, prioridades, e ações necessárias.

Neste subtema estão abarcadas as contribuições ao art. 65-A, que versa sobre a obrigação do encaminhamento, sem custo para o usuário, das chamadas e mensagens destinadas aos serviços públicos de emergência, e a disponibilização da informação de localização do usuário que aciona estes serviços.

Quanto às contribuições que versam sobre a retirada do SCM do referido artigo, o entendimento da Agência é de que, por não existir hoje uma prestadora SCM com recurso de numeração, tal obrigação não traria impactos para o setor neste momento. É mister destacar, no entanto, que se encontra em curso nesta Agência a revisão dos atuais regulamentos de numeração que têm entre seus temas a avaliação acerca da disponibilização de recursos de numeração para o SCM. Ademais, tal obrigação já estava originalmente prevista no Regulamento do SCM, aprovado pela Resolução nº 614/2013 e, com a migração destas temáticas dos regulamentos específicos de cada serviço para o Regulamento dos Serviços de Telecomunicações, é necessário incluir o SCM no art. 65-A. Desta forma, sugere-se incluir um novo parágrafo (conforme abaixo), para clarificar que tal obrigação somente é válida somente para as prestadoras dos serviços de telecomunicações relacionados no caput que possuam recursos de numeração atribuídos a elas, de forma que a contribuição foi parcialmente acatada.

"§14º As obrigações deste artigo são exigíveis das prestadoras a que se refere o caput que possuam recursos de numeração atribuídos."

Quanto às contribuições que versam sobre a inclusão do SMGS no Art. 65-A, entendemos que devido a suas particularidades técnicas o serviço deve ser tratado em separado dos demais, motivo pelo qual a contribuição não foi acatada.

Com relação às contribuições que versam sobre as referências no Artigo 65-A, §4º e a existência na Anatel do GT-LOC, grupo de trabalho criado com base na Resolução nº 627/2013 que regulamentou a entrega da localização em conjunto com a chamada de emergência, esclarecemos que a Agência reconhece o esforço de todos os envolvidos na construção da solução atual, tanto que o grupo de trabalho referenciado no §7º, do art. 65-A, para a implementação dos aspectos operacionais do §§ 3º, 4º, 5º e 6º abarcaria as discussõesdo GT-LOC. Ademais, ressalta-se que o §4º do art. 65-A que constava na Minuta de Resolução PRRE (SEI nº 3298660), proposta pela área técnica, não constou na Minuta de Resolução OR (SEI nº 3545065) que foi submetida à Consulta Pública, sem qualquer justificativa na Análise do Conselheiro Relator. Somado a isso, percebe-se que não houve renumeração dos parágrafos do artigo 65-A na minuta referente ao SEI nº 3545065, objeto da Consulta Pública, saltando-se do §3º para o §5º, demonstrando claramente que a intenção nunca foi a exclusão do §4º proposto pela área técnica e constante da atual regulamentação da Agência. Frente a isso, se propõe retornar o texto original do §4º proposto pela área técnica (conforme abaixo), estando assim as contribuições parcialmente acatadas:

"§ 4º A Prestadora de SMP deve disponibilizar, aos responsáveis pelos serviços públicos de emergência, o acesso à informação sobre a localização das Estações Móveis originadoras das chamadas ou das mensagens de texto destinadas ao respectivo serviço público de emergência."

Com relação à sugestão de alteração do §9º do Art. 65-A, tendo em vista a dificuldade de se encaminhar o 911 e 112, para os respectivos serviços públicos de emergência, em centrais mais antigas do STFC, esta área técnica entende por oportuna a contribuição enviada, acatando-a parcialmente, conforme abaixo, tendo sido o referido parágrafo renumerado para §10º devido à divisão do então §8º em dois para melhorar sua redação:

"§ 10º Na prestação dos serviços que dispõe o caput, a depender de viabilidade técnica, quando marcado o código de acesso 112 ou o código de acesso 911, as chamadas devem ser redirecionadas e encaminhadas ao respectivo serviço público de emergência brasileiro."

Já com relação à sugestão de se incluir um novo artigo com o objetivo de priorizar a comunicação para serviços públicos de emergência, em especial em situações de desastres, entendemos ser importante a priorização das chamadas e mensagens destinadas a Serviços de Emergência e Segurança Pública, estando de acordo com a alteração, que inclusive estaria em linha com ditame semelhante na Lei nº 12.965, conhecida como Marco Civil da Internet, que prevê em seu art. 9º, §1º, II a priorização na comunicação de dados de serviços de emergência. Contudo, tendo em vista que não foi feita a avaliação técnica do impacto desta nova obrigação, em especial quando se considera a heterogeneidade das redes brasileiras, deve-se restringir estas obrigações quanto for tecnicamente possível, devendo os parâmetros técnicos serem definidos a posterior, conforme demais obrigações já listadas neste artigo. Desta forma, a contribuição seria parcialmente acatada com a inclusão do seguinte novo parágrafo:

"§ 13 º As prestadoras a que se refere o caput devem priorizar em suas redes, quanto tecnicamente possível, as chamadas e mensagens destinadas aos serviços de emergência e de segurança pública."

Quanto às contribuições que visam detalhar os aspectos técnicos da operacionalização do art. 65-A, ou solicitam que eles sejam definidos após realização de AIR, Consulta Pública e ato do Conselho Diretor, reforçamos que a proposta da Agência tem como objetivo definir na regulamentação as premissas gerais relacionadas ao tema, devendo o detalhamento técnico e operacional ser discutido com todos os envolvidos no âmbito do Grupo Técnico, conforme já disposto no §7º do mesmo artigo. Além disso, por se tratarem de aspectos infra regulamentares, não é regimentalmente necessária a realização obrigatória de AIR e Consulta Pública sobre a matéria, podendo a decisão de fazê-los ficar a critério da Anatel caso a caso. Desta forma, as contribuições não foram acatadas. Ainda, sobre a formalização da decisão, esta acontecerá por meio de instrumento específico do Conselho Diretor da Agência ou do Superintendente responsável pela coordenação do respectivo Grupo Técnico.

Por fim, realizou-se alteração editorial no texto do § 9º do art. 65-A com o intuito de tornar o texto da proposta mais claro.

Com relação à contribuição que versa sobre o papel dos autorizados do Serviço de Radioamador nas comunicações de emergência e propõe a inclusão de novo artigo sobre o tema, apesar de ratificarmos a importância da RENER em situações de emergência e calamidade, entendemos não ser adequado tratar essa temática no Regulamento Geral de Serviços. O tema já está devidamente endereçado nos regulamentos específicos sobre o tópico, ou seja, a Resolução nº 449/2006, que aprova o Regulamento do Serviço de Radioamador e a Resolução nº 656/2015, que aprova o Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública. Desta forma, a contribuição não foi acatada.

Neste subtema, estão abarcadas as contribuições ao art. 65-B, que versa sobre o combate à fraude nos serviços de telecomunicações. Algumas contribuições buscam entrar no detalhamento técnico sobre o tema, outras buscam alterar ou excluir o §1º, que versa sobre a importância de haver coordenação das prestadoras no combate à fraude e compartilhamento dos custos e benefícios de acordo com o porte da empresa.

Repisamos que a proposta da Agência tem como objetivo definir na regulamentação as premissas gerais relacionadas ao tema, devendo o detalhamento técnico e operacional ser discutido com todos os envolvidos no âmbito do Grupo Técnico, para posterior decisão pela Anatel. Adicionalmente, esclarecemos que hoje se encontra em ampla atividade o GEAFT - Grupo Executivo de Antifraude em Telecomunicações, foro de trabalho onde as áreas especializadas de cada prestadora e a Anatel discutem os procedimentos e ações necessárias ao combate à fraude nos serviços de telecomunicações. Desta forma, as contribuições não foram acatadas.

Ademais, realizou-se pequena alteração na proposta do art. 65-B, substituindo-se “§1º” por “Parágrafo único”.

Neste subtema estão abarcadas as contribuições ao art. 65-C, que versa sobre a obrigação da prestadora em zelar pelo sigilo das telecomunicações, e ao art. 65-D, que define a obrigação de as prestadoras atenderem as demandas de quebra de sigilo legalmente autorizadas.

Quanto às contribuições que visam detalhar custos e a forma como os pedidos de quebra serão atendidos, ou solicitam que eles sejam definidos após realização de AIR, Consulta Pública e Ato do Conselho Diretor, reforçamos que a proposta da Agência tem como objetivo definir na regulamentação as premissas gerais sobre o tema. Além disso, a proposta da Agência prevê a criação de um Grupo Técnico coordenado pela Anatel, com a participação das prestadoras e representantes de instituições ligadas ao tema, onde será possível discutir com todos os atores envolvidos as implicações técnicas e financeiras, prioridades e ações necessárias, para subsidiar posterior decisão pela Anatel. Por fim, por se tratarem de aspectos infra regulamentares, não é regimentalmente necessária a realização obrigatória de AIR e Consulta Pública sobre a matéria, podendo a decisão de submeter ou não a contribuições da sociedade ficar a critério da Anatel caso a caso. Ainda, sobre a formalização da decisão, esta acontecerá por meio de instrumento específico do Conselho Diretor da Agência ou do Superintendente responsável pela coordenação do respectivo Grupo Técnico. Desta forma, as contribuições não foram acatadas.

Em relação às propostas de revisão do caput do art. 65-C, as contribuições foram parcialmente acatadas de forma a enaltecer a importância de resguardar o sigilo das comunicações e dos dados relacionados aos serviços, conforme texto abaixo:

"Art. 65-C As prestadoras de serviços de telecomunicações devem zelar pelo sigilo das comunicações e pela confidencialidade dos dados inerentes aos serviços de telecomunicações, inclusive registros de conexão e informações do assinante ou do usuário, empregando todos os meios e tecnologia necessários para tanto."

Quanto às contribuições que solicitam a supressão do art. 65-C §2º, esclarecemos que o texto proposto pela área técnica é uma transposição do Art. 89, parágrafo único do Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477/2007. Desta forma, entendemos que o ditame regulamentar ainda é necessário e, por consequência, as contribuições não foram acatadas.

O texto proposto no art. 65-E versa sobre o direito do usuário originador da chamada em ocultar seu código de acesso, do usuário receptor de recusar chamadas com o código de acesso oculto e as exceções a estes direitos.

Foram recebidas contribuições no sentido de remover este ditame, argumentando-se que existem dificuldades técnicas no cumprimento da obrigação. Quanto ao tema, esclarecemos que se trata de uma transposição do atual art. 90 do Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477/2007 e do art. 25 do Regulamento do Serviço Telefônico Fixo Comutado – STFC. Aprovado pela Resolução nº 426/2005. Desta forma, não há inovação regulamentar, sendo que esta área técnica acredita que tal obrigação ainda é necessária no cenário atual. Quanto às dificuldades técnicas, repisamos que o detalhamento da forma de implementação deve ser discutido no Grupo Técnico, de forma a subsidiar posterior decisão pela Anatel. Desta forma, as contribuições não foram acatadas.

Outras contribuições buscam clarificar que o direito de ter seu código de acesso oculto não se aplica para os casos de chamadas destinadas a serviços públicos e nos casos de quebra de sigilo judicial. Entendemos que o texto proposto já está abarcado no §º1 do referido artigo. De qualquer forma, para facilitar o entendimento, foi feita uma alteração da ordem dos parágrafos e algumas alterações editoriais, de forma que as contribuições sobre este tópico foram parcialmente acatadas.

Com relação às contribuições que solicitam a retirada do SCM da obrigação disposta no art. 65-E, esclarecemos que o atual Regulamento do SCM já prevê a existência de recurso de numeração para o serviço. Ademais, encontra-se em andamento na Anatel revisão dos regulamentos de numeração sendo um dos itens de estudo a possibilidade de viabilizar ou não o uso de numeração pelo SCM. Desta forma, e considerando a premissa de agrupa no Regulamento Geral de Serviços todos os aspectos relacionados à segurança pública, esta área técnica entende inoportuno realizar a alteração na presente proposta, de modo que as contribuições não foram acatadas. Houve, contudo, uma revisão na forma do texto no intuito de deixar claro que a obrigação só se aplica as prestadoras com recurso de numeração atribuído, conforme abaixo:

"§ 4º As obrigações deste artigo são exigíveis das prestadoras a que se refere o caput que possuam recursos de numeração atribuídos."

Neste subtema estão agrupadas as contribuições relativas aos artigos 5º a 8º da Minuta de Resolução, que fazem alterações no Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado pela Resolução nº 550/2010.

Com relação à contribuição ao art. 5º, que propõe incluir um inciso ao artigo 17 do RRV-SMP, o contribuidor aponta um erro na numeração do inciso proposto pela Anatel. De fato, atualmente o art. 17 do RRV-SMP já possui 11 incisos. Sendo assim, o novo inciso deverá ser identificado como inciso “XII”, tendo sido a contribuição acatada.

Quanto às contribuições que sugerem que contratos entre a Prestadora Origem e Autorizado de Rede Virtual anteriores à presente Resolução não deveriam afetados pelas alterações propostas, esta área técnica entende que as contribuições não devem ser acatadas, tendo em vista que se tratam de medidas que versam sobre a segurança pública e, por consequência, devem ser adotados por todos, devendo assim os contratos anteriores serem adequados.

Quantos às contribuições aos artigos 5º a 8º que tratam da negociação entre as partes na forma de colaboração entre a Prestadora Origem e o Autorizado ou Credenciado de Rede Virtual no cumprimento dos ditames propostos na Consulta Pública, esclarecemos que esta área técnica não entende ser necessária a alteração do texto original. O texto original define que as regras de colaboração devem constar em contrato entre as partes , situação na qual se pressupõe a negociação entre as partes na definição dos termos. Ressalta-se, novamente, que os contratos anteriores deverão ser atualizados, após negociação entre as partes, para estarem de acordo com as novas obrigações.

Com relação à contribuição ao art. 8º da proposta, que inclui o inciso XVIII no artigo 1º do Anexo I do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), esta área técnica entende que a Prestadora Origem pode ser tanto uma Autorizada de SMP nos termos “tradicionais” quanto uma Autorizada de Rede Virtual. Desta forma, o texto atual original está adequado e a contribuição não foi acatada.

As contribuições relativas à "Segurança Cibernética" foram aquelas referentes ao Regulamento de Segurança Cibernética aplicada ao setor de telecomunicações, em anexo a Minuta de Resolução proposta. A seguir, sumarizou-se tais contribuições em subtemas de forma a facilitar a análise das contribuições.

A proposta posta em Consulta Pública previa que as prestadoras deveriam estabelecer procedimentos relacionados ao compartilhamento de informações sobre incidentes relevantes, que por sua vez, deveriam ser realizados de forma sigilosa e não discriminatória, de forma que fosse incentivada a participação de todas as prestadoras de serviços de telecomunicações e a coordenação com outras entidades relevantes.

Houve contribuições no sentido de tornar a norma mais detalhada e prescritiva, estabelecendo quais informações deveriam ser compartilhadas, prazos e elaboração de relatórios. Por outro lado, houve contribuições para suprimir os dispositivos no regulamento que preveem o compartilhamento de informações sob a justificativa que a disseminação de informações sensíveis poderia colocar em risco a própria segurança das empresas. Ainda foi questionado se o direito de confidencialidade de informações operacionais e técnicas estaria sendo preservado com a adoção destas medidas.

A respeito desse assunto, o relatório de AIR contemplou um subtema específico sobre o compartilhamento de informações, onde foi ressaltada a importância desta conduta para a mitigação de vulnerabilidades existentes nas redes, assim como foi exposta a preocupação com a sensibilidade dos dados e a relação de confiança, imprescindível para que o compartilhamento de informações ocorra de forma efetiva. Tendo isso como premissa, a alternativa escolhida no relatório é aquela que determina que a plataforma de compartilhamento de informações seja desenvolvida ou adquirida pelas próprias prestadoras, de forma que a solução adotada estaria mais alinhada com as especificidades e necessidades do setor. Além disso, a proposta submetida à Consulta Pública já resguardava o sigilo necessário quando da troca de informações.

Pelo exposto, não se julga oportuno deixar especificado em regulamento as formas e condições em que o compartilhamento de informações ocorrerá. Tais características serão melhor avaliadas de acordo com as necessidades da conjuntura do setor, em uma dinâmica de corregulação que contará com acompanhamento da Anatel, que poderá contribuir para eventuais adequações de procedimentos.

Por fim, foram realizados ajustes na redação originalmente proposta para que fique claro que o compartilhamento de informações não se refere apenas a incidentes relevantes, mas também de outras informações relativas à segurança cibernética como boas práticas, procedimentos para identificar e mitigar vulnerabilidades, atualização de software, entre outros. Ademais, propõe-se que seja facultado às prestadoras o anonimato da origem das informações de forma a estimular a ampla participação dos atores. A previsão expressa de anonimato no compartilhamento de informações relativas à segurança cibernética é importante para que a empresa não tenha receio de compartilhar fragilidades e/ou ataques recebidos, assim como outras informações que contribuam para a identificação, proteção, detecção, resposta e recuperação de incidentes. Tal preocupação consta do relatório de AIR, porém, não estava refletida de forma adequada no regulamento.

Ao longo de diversas contribuições, nos diferentes subtemas, foram expostos questionamentos quanto à competência da Anatel de regulamentar o tema, tendo em vista a existência de instrumentos legais que versam sobre assuntos sobre proteção de dados pessoais e segurança da informação. Foram citados o Decreto nº 9.637/2018, que institui a Política Nacional de Segurança da Informação no âmbito da administração pública e a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).

Quanto ao Decreto, alega-se haver conflito de competências com o Gabinete de Segurança Institucional da Presidência da República (GSI/PR), pois já haveria diretrizes estabelecidas no Decreto e o órgão seria o responsável pela elaboração e publicação da Estratégia Nacional de Segurança da Informação. A esse respeito, aclara-se que o referido Decreto trata da política de segurança da informação, no âmbito da administração pública federal, e, portanto, tem seu escopo limitado aos órgãos e entidades integrantes da administração pública federal.

O Decreto é um avanço importante na construção da segurança cibernética e o próprio normativo prevê o estabelecimento de planos nacionais e de uma Estratégia Nacional, cuja construção contará com a ampla participação da sociedade e setor público, nos termos do parágrafo único do art. 6º do Decreto.

No entanto, ainda inexiste no ordenamento jurídico brasileiro normativo que guie os esforços nacionais na matéria e tenha escopo multissetorial, abrangendo inclusive os agentes privados.

Aqui justamente reside o mérito da proposta da Agência, que se antecipa à eventual determinação para estabelecimento de regras de segurança cibernética no seu setor e busca, ouvindo a sociedade e os próprios agentes regulados, construir regulamentação que atenda à importância e urgência do tema e, assim, contribuir para a tão desejada cultura de segurança de cibernética.

O estabelecimento de uma Estratégia Nacional não serão afasta as competências da Anatel definidas pela Lei nº 9.472/97 (LGT), a qual dispõe:

Art. 19. À Agência compete adotar as medidas necessárias para o atendimento do interesse público e para o desenvolvimento das telecomunicações brasileiras, atuando com independência, imparcialidade, legalidade, impessoalidade e publicidade, e especialmente:

IV - expedir normas quanto à outorga, prestação e fruição dos serviços de telecomunicações no regime público;

X - expedir normas sobre prestação de serviços de telecomunicações no regime privado;

XII - expedir normas e padrões a serem cumpridos pelas prestadoras de serviços de telecomunicações quanto aos equipamentos que utilizarem;

XIII - expedir ou reconhecer a certificação de produtos, observados os padrões e normas por ela estabelecidos;

Todavia, é importante destacar que a Anatel contou com a colaboração do GSI no processo de Análise de Impacto Regulatório, além de estar participando na elaboração da estratégia nacional prevista no Decreto.

Veja-se que não é apenas o setor de telecomunicações que buscou regulamentar o tema, já tendo o Banco Central do Brasil aprovado Resolução nº 4.658, de 26 de abril de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Em relação à LGPD, é essencial esclarecer que seu escopo difere da regulamentação aqui proposta. Enquanto aquela é voltada para a proteção dos dados pessoais, este engloba a segurança cibernética como um todo, focando em questões técnicas de armazenamento destes dados, sem entrar no mérito de seu uso e tratamento, conforme definido no relatório de AIR, em seu tema 05:

"(...) Nesse aspecto é que se insere o presente tema que aborda aspectos relacionados ao armazenamento de dados pessoais por prestadoras de telecomunicações no contexto da busca pela segurança da informação. (...) Vale destacar que, a despeito da regulamentação a ser adotada pela Agência, o Decreto nº 8.771/2016, que regulamenta o Marco Civil da Internet, já estabeleceu obrigações e procedimentos relativos ao armazenamento de dados pessoais a serem observados pelos provedores de conexão. Quanto a isso, cumpre à Anatel realizar a verificação se tais procedimentos estão sendo adotados, por meio do acompanhamento da política de segurança cibernética, a ser implementada pelas prestadoras."

Por mais que a proteção dos dados pessoais contemple também o seu armazenamento seguro, a temática envolve muitos outros aspectos que não serão tratados no escopo da regulamentação em tela. De fato, a despeito da proposta, o Decreto nº 8.771/2016, que regulamenta o Marco Civil da Internet, já estabelece obrigações e procedimentos relativos ao armazenamento seguro dos dados aos provedores de conexão, cabendo à Anatel o acompanhamento e verificação do cumprimento dessas obrigações.

Ademais, não se pode olvidar que a regulamentação setorial, antes mesmos dessas previsões, já contemplava dispositivos, ainda que genéricos, sobre o direito dos consumidores à privacidade nos documentos de cobrança e na utilização de seus dados pessoais pelas prestadoras, nos termos do art. 3º, IX, da LGT, replicado no art. 3º, VII, do Regulamento Geral de Direitos do Consumidor de Telecomunicações (RGC), aprovado pela Resolução nº 632, de 7 de março de 2014, constituindo o armazenamento seguro desses dados pessoais, condição essencial para a efetividade do direito à privacidade.

Quanto aos demais aspectos contemplados pela LGPD, reforça-se que o atendimento às obrigações estabelecidas pela regulamentação proposta não isenta às prestadoras de atendimento à LGPD e que compete à Autoridade Nacional de Proteção de Dados (ANPD) ), nos termos do art. 55-J, XV, articular com demais órgãos reguladores, podendo a Anatel versar sobre tais aspectos em futuras propostas regulamentares.

O texto regulamentar posto em Consulta Pública estabelecia que todas prestadoras de serviços de telecomunicações deveriam observar os princípios estabelecidos no regulamento, mas previa que as demais disposições do regulamento se aplicariam somente às prestadoras de serviços de interesse coletivo, ressalvadas as prestadoras de pequeno porte. Esta proposta recebeu contribuições contrárias e a favor. Entre as posições contrárias, argumentou-se que, em se tratando de segurança cibernética, não seria apropriado estabelecer isenções a determinadas prestadoras, podendo, inclusive, haver conflitos com as disposições da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).Nesse sentido, apesar do regulamento prever a dispensa de algumas disposições para certos agentes regulados, estes não estão dispensados do cumprimento da legislação em vigor. Ademais, conforme já exposto nesta análise, o escopo da LGPD é diverso do escopo do regulamento proposto.

Quanto ao mérito de estabelecer medidas assimétricas considerando o porte das empresas, trata-se de medida alinhada com as demais regulamentações expedidas pela Agência, assim como às premissas adotadas pela LGPD e o Decreto de regulamenta o Marco Civil da Internet:

Art.41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

X - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores; (grifos nossos)

Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

§ 1^o Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação. (grifos nossos)

Quanto ao §1º do art. 13 do Decreto, cumpre esclarecer que o CGI.br não possui o poder de regulação e enforcement sobre as prestadoras de serviços de telecomunicações, poder esse exercido pela Anatel, nos termos de suas competências trazidas pela LGT. Desta forma a Agência deverá trabalhar em parceria com o CGI.br, órgão técnico e de excelência na matéria. para exercer suas competências legais.

É importante frisar que no setor de telecomunicações a diversidade de porte e atuação das empresas é muito grande, principalmente na prestação do Serviço de Comunicação Multimídia (SCM), serviço no qual, atualmente, existem mais de 10 mil empresas. Dentre estas a maioria atende a um número muito baixo de clientes, sendo uma quantidade expressiva de empresas dispensadas de outorga por possuírem menos de 5 mil clientes. Neste cenário, não se considera razoável que uma empresa de pequeno porte, com apenas alguns milhares de clientes estruture uma política de segurança cibernética nos moldes propostos, inclusive, com diretor responsável por esta. No entanto, cabe repisar que os princípios do regulamento deverão ser observados por todas as prestadoras, entre os quais se incluem a adoção de boas práticas, utilização segura e sustentável das redes, a prevenção, resposta e tratamento de incidentes e o direito à privacidade do usuário dos serviços de telecomunicações. Ainda, a proposta prevê que o Conselho Diretor pode incluir ou dispensar, por meio de ato devidamente motivado, qualquer prestadora da incidência das disposições do regulamento independentemente do serviço prestado ou porte da empresa.

Desta forma, propõe-se que se mantenha a ideia inicial na qual são determinadas medidas assimétricas de acordo com o porte da empresa, realizando-se, no entanto, ajustes redacionais para deixar claro que as dispensas previstas no regulamento não eximem as empresas de cumprir suas obrigações legais e de seguir os princípios ali estabelecidos.

Por fim, a fim de aprimorar o regulamento e, especialmente considerando os desafios relacionados à segurança enfrentados pelas empresas de pequeno porte e suas limitações técnicas e financeiras, sugere-se a inclusão de nova atribuição ao GT-Ciber, que será responsável por discutir e sugerir a promoção de ações e iniciativas para fomentar a adoção, pelas empresas de pequeno porte, dos princípios estabelecidos no regulamento, contribuindo assim para construção e consolidação de uma cultura de segurança cibernética no setor.

Houve contribuições de prestadoras no sentido de suprimir o dispositivo que dispunha sobre a alteração da configuração padrão dos equipamentos fornecidos em comodato, sob a alegação que tais alterações poderiam ser realizadas pelo próprio fabricante ou por terceiros. Realmente, existem produtos no mercado que forçam o usuário a alterar as configurações de usuário e senha na configuração inicial do equipamento. No entanto, a redação originalmente proposta estabelece que as prestadoras deverão "promover" a alteração da configuração padrão. Desta maneira, entende-se que o verbo utilizado não determina que será a prestadora a responsável pela alteração e sim a responsável por assegurar que os equipamentos que estão sendo fornecidos não estão com a configuração de autenticação padrão de fábrica.

Portanto, propõe-se que seja mantido o dispositivo regulamentar, fazendo ajustes no texto para que fique claro que se trata da configuração padrão relacionada à autenticação do equipamento e não quaisquer configurações de segurança.

Foram realizadas contribuições para que fossem retiradas as obrigações de que a política de segurança cibernética fosse aprovada pelo conselho de administração ou órgão de deliberação colegiado equivalente assim como a designação de diretor responsável pela política. Argumenta-se que tais medidas contribuiriam para enrijecer a estrutura organizacional das empresas, interferindo em suas autonomias.

A esse respeito, salienta-se que tal prática é objeto de recomendações internacionais com o objetivo de se aumentar a priorização da segurança cibernética no interior das empresas. A recomendação UIT-T X.1051 (Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations), que como o próprio título revela, é baseada na norma ISO/IEC 27002, dispõe que:

"There should be an appointment of an executive manager who is responsible for all risks to telecommunication infrastructure and is accountable for their management."

O documento UIT-T X.Suppl.34 que suplementa a recomendação citada também orienta que níveis gerenciais da empresa sejam responsáveis pela aprovação da política de segurança da rede e da informação:

"Organization leadership should establish a management framework to initiate and control the implementation of information and network security. Management should approve the information and network security policy, assignment of security roles, coordinate and review of the implementation of security across the organization."

A Agência Europeia para a Segurança das Redes e Informação (ENISA), na Diretriz Técnica sobre Medidas de Segurança (versão 2.0 de outubro de 2014), lista 25 objetivos que as autoridades reguladoras nacionais devem avaliar quando da fiscalização das prestadoras referente ao cumprimento do art. 13a da Diretiva 2009/140/EC do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, os quais se agrupam em 7 categorias. A primeira categoria (D1) trata justamente de Governança e Gestão do Risco, ressaltando nos objetivos a necessidade de estabelecer uma política de alto nível e do conhecimento da mesma pelos cargos da organização, responsáveis por segurança e continuidade, tipicamente incluindo os cargos de CEO, CIO, CISO, etc.^[1]

Cumpre também apontar para a regulamentação do tema expedida pelo Banco Central, por meio da Resolução nº 4.658, de 26 de abril de 2018, que, de maneira análoga, também determina a designação de diretor responsável pela política de segurança cibernética.

Por fim, ressalta-se que o texto proposto permite que o diretor desempenhe outras funções na empresa, desde que não haja conflito de interesses.

[1] https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf

A proposta colocada em Consulta Pública previa a comunicação aos usuários e à Anatel, em prazo razoável, sobre incidentes relevantes afetos à segurança cibernética. O texto submetido à Consulta prevê que a definição do escopo de um "incidente relevante" seria definida pela Anatel, ouvido o Comitê de Segurança. Quanto a isso, foram apresentadas contribuições diversas: pela supressão da obrigação; estabelecimento de prazos para que fosse realizada a notificação; definição de incidente relevante no próprio regulamento assim como a definição de incidente relevante pelo GSI/PR.

Entre os argumentos apontados, está o de que tal obrigação já estaria prevista no art. 48 da LGPD. Realmente, a lei prevê a comunicação à ANPD, em prazo razoável (conforme definido pela ANPD), de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Conforme já exposto, as competências atribuídas à ANPD e ao GSI/PR não excluem a competência da Anatel de acompanhar e zelar pela boa prestação dos serviços de telecomunicações. Ainda, a LGPD trata da segurança dos dados pessoais enquanto o regulamento proposto trata da segurança das redes (um ataque distribuído de negação de serviço – DDOS não compromete o sigilo de dados, mas gera indisponibilidade de serviços, por exemplo). Ressalte-se que a própria lei não estabelece o prazo e delega esta tarefa à autoridade nacional. Igualmente para a regulamentação da Anatel, entende-se ser prematura a definição de prazo visto que o escopo de "incidente relevante" ainda será definido pela Anatel após debates no âmbito do Grupo Técnico. Em termos de incidentes cibernéticos, nem sempre é trivial a sua detecção; alguns são pontuais e outros contínuos, de forma que em alguns casos, sua detecção só ocorre algum tempo depois de ocorrido ou iniciado.

Pelo exposto, propõe-se a manutenção da proposta original, com a expressa previsão da competência no âmbito do Grupo Técnico (GT-Ciber) para a discussão e proposição das definições de “incidente relevante” e “prazo razoável”.

Houve contribuições criticando a possibilidade de estabelecimento de requisitos técnicos, ouvido o Comitê, sob a alegação de que a velocidade de evolução das tecnologias não seria compatível com a medida. Sugere-se a corregulação, pela intervenção mínima.

Neste ponto, acredita-se que a proposta inicial vai ao encontro dos argumentos apresentados, pois não estabelece em regulamento requisitos técnicos de operação das redes justamente por haver risco de tais requisitos se tornarem obsoletos em um curto período de tempo. O estabelecimento de requisitos seria decidido pela autoridade competente na Anatel e discutido no âmbito de seu respectivo Grupo Técnico, o qual manterá interface com representantes convidados das prestadoras de serviços de telecomunicações.

Por fim, conforme exposto no relatório de AIR, a Anatel já realizou ações similares como a determinação do bloqueio da porta 25/TCP e da guarda do registro de portas quando do compartilhamento de IPv4.

Quanto à obrigação de elaboração e implementação de uma Política de Segurança Cibernética, foram feitas críticas à política de segurança cibernética que, na visão destes contribuidores, não deveria ser única para todos e que deveria contemplar as especificidades de cada empresa. Entende-se que a proposta original oferece bastante flexibilidade visto que ela elenca um rol de itens mínimos a constar da política, os quais, por sua vez, serão implementados de forma "compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da prestadora".

Houve também contribuição para que a política fosse apresentada somente quando solicitado pela Anatel e não estabelecer o compromisso anual de apresentação da política. Quanto a isso, frisa-se a importância de um acompanhamento constante da implementação da política assim como de suas atualizações periódicas. Ressalta-se que uma vez elaborada e implementada a política, o custo para entregas posteriores é potencialmente reduzido, pois caberá às prestadoras realizar ajustes e atualizações de uma política já em andamento.

Nesse sentido, a Diretriz Técnica sobre Medidas de Segurança da ENISA anteriormente citada, a qual se baseia em padrões internacionais como ISO/IEC 27001 e 27002, destaca a necessidade de revisão periódica das políticas como uma das medidas avançadas para implementação do princípio referente à política de segurança da informação.

Portanto, propõe-se a manutenção do compromisso anual apresentação da política.

Foi proposto que o prazo de adaptação das prestadoras ao regulamento fosse ampliado para 365 dias ao invés dos 180 dias propostos na Consulta Pública. Argumenta-se que a LGPD entrará em vigor em 2020 e que as ações a serem implementadas demandaria mais tempo para estruturação das empresas.

Nesse tocante, destaca-se que a meta constante da Agenda Regulatória para aprovação da regulamentação é o final de 2019 e, tendo em vista que as prestadoras já conduzem algumas ações alinhadas com a política de segurança cibernética, propõe-se a manutenção do prazo de adequação original.

Entre as competências elencadas para o Comitê proposto estava a de “recomendar, em matérias de alta especialização e em assuntos que demandem pesquisas, levantamentos e estudos, a contratação de técnicos, empresas especializadas ou consultores independentes”. A contratação de empresas especializadas para realizar avaliações e inspeções relativas às vulnerabilidades afetas à segurança cibernética tem se tornado prática cada vez mais comum. As empresas contratantes buscam, por essa prática, averiguar se seus ativos e dados sensíveis estão bem protegidos contra agentes mal-intencionados, evitando, desta forma, prejuízos significativos decorrentes da exploração de vulnerabilidades.

Esta conduta tem se mostrado tão relevante que tem sido utilizada para mensurar o nível de maturidade e resiliência do ponto de vista de segurança cibernética. O Global Cybersecurity Index – GCI^[2], promovido pela UIT, por exemplo, leva em consideração a adoção destes procedimentos para a definição dos indicadores que comporão o índice.

Tendo em vista o exposto, apesar de não haver contribuições neste sentido, verificou-se oportuno a previsão, no âmbito da política de segurança cibernética das prestadoras, de ciclos de avaliação de vulnerabilidades, realizados por empresa especializada e independente, cujos aspectos a serem considerados e a periodicidade destes ciclos sejam definidos pelo Grupo Técnico.

Acredita-se que esta alteração dê instrumentos para que a Agência possa acompanhar de forma mais efetiva o nível de maturidade de segurança cibernética das prestadoras, elegendo aspectos específicos a serem avaliados, de forma dinâmica de acordo com a necessidade.

Nos ciclos de avaliação de vulnerabilidades podem ser conduzidos testes de penetração, análises técnicas de matérias diversas, tais como sinalização SS7 e Diameter e gestão de roteadores, bem como auditorias muito focadas em algum controle constante pela Política de Segurança Cibernética de extrema relevância. Tais medidas vão ao encontro de recomendações do Global Security Capacity Centre (GCSCC)^[3], da Universidade de Oxford, após a sua avaliação de maturidade em relação a temática segurança cibernética do Brasil e outros países das Américas, conduzida no ano de 2018 a pedido do Organization of American States (OAS), e com a colaboração de diversos órgãos governamentais federais brasileiros.

Inicialmente, antes de analisar as contribuições específicas a este tema, cumpre explanar uma série de alterações promovidas decorrentes debates realizados pelas áreas técnicas.

Da Gestão de Risco de Redes, prevista no regulamento aprovado pela Resolução nº 656/2015

Pela oportunidade da análise das contribuições da Consulta Pública, verificou-se pertinente uma avaliação mais profunda das alterações que estavam sendo promovidas na Resolução nº 656/2015. Ponderou-se que as atividades atualmente conduzidas pelo GGRR (Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações) muito se assemelham com o que seria o acompanhamento da política de segurança cibernética, da forma como foi proposta na minuta de regulamento. De fato, em alguns fóruns, como é o caso das atividades conduzidas pelo Comando de Defesa Cibernética (Com D Ciber), vinculado ao Exército Brasileiro, a gestão de risco das redes e das infraestruturas críticas é tida como uma das vertentes de uma política de segurança cibernética mais ampla. O Plano de Gestão de Riscos – PGRiscos, previsto no regulamento aprovado pela referida Resolução, que é acompanhado pelo GGRR, traz, inclusive, a Segurança da Informação como um dos elementos a constar do Plano. Nesta esteira, o GGRR já tem demandado às prestadoras que apresentassem medidas relativas à gestão de riscos no âmbito da segurança lógica.

Ao se refletir mais atentamente sobre a estruturação dos Grupos Técnicos proposta, surgiu-se a preocupação de que separar a gestão de risco das redes de telecomunicações e suas infraestruturas críticas da gestão da segurança cibernética das prestadoras poderia trazer dificuldades operacionais e burocratização no processo de acompanhamento pela Agência.

Por todo o exposto e, tendo em vista a similaridade do escopo de atuação dos Grupos Técnicos GGRR e GT-Ciber, julga-se oportuno trazer as atribuições do GGRR para um único grupo, o GT-Ciber, que passaria a denominar-se “Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica”.

Desta forma, propõe-se que toda a gestão de risco das redes e infraestruturas críticas passem a estar sob o escopo do Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, indo ao encontro da definição de “Segurança Cibernética” submetida à Consulta Pública – “conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos, ações de treinamento, melhores práticas, garantias e tecnologias que podem ser usados para proteger o ambiente cibernético e ativos de usuários e de organizações”

Como forma de operacionalizar tais mudanças, propõe-se a revogação da Resolução nº 656/2015, transpondo todo o seu conteúdo relativo à gestão de risco de redes e infraestruturas críticas para o Regulamento de Segurança Cibernética e a aprovação do Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública, que agregaria todo o conteúdo restante que era tratado no regulamento aprovado pela Resolução nº 656/2015.

Cumpre enaltecer que tais mudanças não configuram alteração no mérito na regulamentação em vigor e sim apenas uma transposição dos regramentos de forma a tornar a gestão da Agência mais eficiente. De forma a elucidar melhor tais mudanças, elaborou-se uma planilha (SEI nº 4277954) que descreve as mudanças, indicando o destino e descrição, item a item, dos dispositivos regulamentares previstos na Resolução nº 656/2015.

A proposta submetida à Consulta Pública apresentava na composição do Comitê (C-INTS) os grupos técnicos GT-Seg, GT-Ciber e GGRR, que não teriam caráter decisório, podendo aspectos técnicos ou operacionais ser decididos pelo respectivo Superintendente coordenador.

Verificou-se, no âmbito das discussões e, também com base em experiências da área de acompanhamento da Anatel, que seria interessante conferir maior autonomia aos grupos técnicos, desvinculando-os da estrutura de um Comitê. Os Grupos Técnicos permaneceriam sem caráter decisório, devendo auxiliar a Anatel na tomada de decisão, estando encarregados da decisão de aspectos técnicos ou operacionais.

Portanto, tendo em vista a absorção do GGRR pelo GT-Ciber, conforme exposto alhures, propõe-se a instituição do GT-Seg no Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73/1998, acrescentando-se uma nova seção no Capítulo IV, que trata das ações de apoio à Segurança Pública. De forma análoga, o GT-Ciber seria instituído no Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações.

Desta forma, dada a natureza técnico-operacional do acompanhamento do tema, a figura do Comitê restaria como um fórum de debates e interação com entidades externas, de tal maneira que cumpre ponderar sobre a necessidade de formalizar este fórum nos moldes do que foi proposto. A existência de fóruns de debates envolvendo as diversas entidades externas, não necessariamente imprescinde da criação formal de um Comitê para tanto. Tais atividades poderiam ser iniciativas dos Grupos Técnicos e contar com o apoio de outras áreas da Anatel, como por exemplo, a Assessoria Técnica. Ainda, decisões de cunho político-regulatório permaneceriam sob a alçada do Conselho Diretor, deixando apenas que as decisões técnico-operacionais sejam tomadas no âmbito dos grupos técnicos.

Por todo exposto, conclui-se que para atendimento aos objetivos pretendidos no relatório de AIR, não é necessária a criação de um Comitê, tendo em vista que o estabelecimento de um fórum de discussão e inclusão dos demais agentes relevantes (sociedade civil, órgãos de governos, especialistas, etc) poderia ser alcançado de forma mais flexível sem a instituição de um Comitê, vinculado a um regimento aprovado por resolução.

A despeito da opção por não se instituir um Comitê, cumpre comentar algumas contribuições apresentadas no escopo do Comitê. Foram apresentadas contribuições no sentido de alterar a denominação do Comitê, para qualificar a palavra “infraestrutura” por meio da inserção do termo “críticas”. Considera-se que, com absorção do GGRR pelo GT-Ciber, conforme já exposto, a temática referente a gestão de riscos e infraestrutura crítica migraria para o regulamento de segurança cibernética, sendo esta acompanhada pelo GT-Ciber. De toda forma, a presente proposta não visa a expandir o escopo de atuação da Agência quanto a este tema e sim reunir assuntos com relevante sinergia no âmbito de um mesmo foro de discussão para melhor subsidiar as decisões da Agência.

Quanto ao art. 5º do Regimento Interno do Comitê, houve contribuições no sentido de que os membros do Comitê não fossem apenas os convidados para tanto, mas que fosse facultada a participação de todos os interessados, visando promover a participação voluntária e a cooperação por parte dos entes. Sugeriu-se, por exemplo, a exclusão do termo “convidados” do dispositivo. Tais contribuições não foram aceitas.

Dada a sensibilidade do tema, entendeu-se por bem restringir a participação dos interessados àqueles convidados. Esta premissa é a mesma adotada na ausência de um Comitê, onde esta dinâmica seria mantida no âmbito das discussões do tema, sendo importante ressaltar que, conforme a natureza do assunto, poderão ser realizadas reuniões com mais interessados.

Foram apresentadas contribuições no sentido de que as reuniões do Comitê sejam públicas, permitindo-se a sua gravação por meios eletrônicos, e assegurando-se aos interessados o direito de delas obter transcrições. Em decorrência da opção por não instituir o Comitê, tais contribuições ficam prejudicadas, no entanto, ressalta-se que dada a sensibilidade dos temas a serem tratados na Agência, no caso concreto, poderão existir casos em que haja hipótese de sigilo, justificando-se que os debates e ações conduzidas no âmbito dos grupos técnicos não sejam públicos.

Neste contexto, houve contribuições pleiteando que as atas de reuniões fossem publicadas no sítio da Agência na internet. A esse respeito cabe pontuar que a publicidade é a regra, sendo que excepcionalmente poderá ser conferido o caráter sigiloso ou restrito a tais documentos, conforme norma geral a ser observada pela Administração Pública de acordo com a Lei de Acesso à Informação – LAI (Lei nº 12.527/2011).

Tendo em vista todo o exposto, foram elaboradas minutas de respostas às contribuições recebidas na Consulta Pública nº 52/2018, conforme documentos SEI nº 4013817 e SEI nº 4013828, bem como proposta de nova a Minuta de Resolução (SEI nº 4013761)

Consequentemente, entende-se que pode ser dado andamento ao presente processo, por meio de seu encaminhamento à Procuradoria Federal Especializada da Anatel.

Relatório das respostas às contribuições recebidas na Consulta Pública nº 52/2018 por meio do SACP (SEI nº 4013817);

Relatório das respostas às contribuições recebidas na Consulta Pública nº 52/2018 por outros meios (SEI nº 4013828);

Propõe-se o encaminhamento da proposta de regulamentação relacionada a serviços públicos de emergência e Análise sobre regulamentação de segurança das redes de telecomunicações à Procuradoria Federal Especializada da Anatel para Parecer, visando sua posterior submissão ao Conselho Diretor da Anatel para aprovação.

Documento assinado eletronicamente por Carlos Manuel Baigorri, Superintendente de Controle de Obrigações, em 19/06/2019, às 18:12, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Gustavo Santana Borges, Gerente de Controle de Obrigações de Qualidade, em 19/06/2019, às 18:13, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Eduardo Kruel Milano do Canto, Especialista em Regulação, em 19/06/2019, às 19:38, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Nilo Pasquali, Superintendente de Planejamento e Regulamentação, em 21/06/2019, às 10:05, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Elisa Vieira Leonel, Superintendente de Relações com Consumidores, em 24/06/2019, às 10:18, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Renato Bigliazzi, Assessor(a), em 24/06/2019, às 11:27, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Felipe Roberto de Lima, Gerente de Regulamentação, em 24/06/2019, às 11:31, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Renata Blando Morais da Silva, Coordenador de Processo, em 24/06/2019, às 11:31, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por João Alexandre Moncaio Zanon, Coordenador de Processo, em 24/06/2019, às 11:32, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Vanessa Copetti Cravo, Coordenador Regional de Processo, em 24/06/2019, às 11:45, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Rafael Andrade Reis de Araújo, Coordenador de Processo, em 24/06/2019, às 12:07, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 4013678 e o código CRC 83415032.

Contribuições	Fora de escopo/vazias	Comentários gerais/elogios	Segurança Pública	Segurança Cibernética	Comitê	Total
SACP	96	6	35	39	15	191
Outros meios	0	5	65	47	28	145
Total	96	11	100	86	43	336