|Publicada originalmente na Teletime| O conselho diretor da Anatel determinou a nova regulamentação de segurança de redes de telecomunicações, com o estabelecimento de um grupo técnico de cibersegurança. O novo Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (clique aqui para ver a íntegra do regulamento) traz uma série de diretrizes para o setor, de maneira ampla, podendo inclusive ser aplicado a fornecedores, ao contrário da proposta original que só abarcaria as prestadoras.

Agora, o regulamento diz que “o Conselho Diretor da Anatel poderá, motivadamente, incluir ou dispensar, total ou parcialmente, as prestadoras de serviços de telecomunicações de interesse coletivo ou restrito, independentemente do porte, empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações e demais empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações, da incidência das disposições deste Regulamento”.

O regulamento não menciona restrições a nenhum fornecedor nem a nacionalidade dos fabricantes de equipamentos. Mas há elementos que chamam atenção. O parágrafo VII do artigo 5º diz que “as pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações devem atuar em Segurança Cibernética observando as seguintes diretrizes: (…) respeitar e promover os direitos humanos e as garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações”. Na proposta original, esta previsão estava colocada apenas como um princípio geral do regulamento, e não como qualificação da atuação dos atores envolvidos. Tal condição, por si só, não quer dizer muita coisa, mas é notório que um dos argumentos do governo dos EUA para banir fornecedores chineses, encampado pelo presidente Jair Bolsonaro, passa pelo discurso de defesa das liberdades individuais.

No seu voto vencedor, o presidente da Anatel Leonardo Euler diz que os contextos econômicos e geopolíticos são alheios à alçada da agência, mas faz uma reflexão da competição no mercado citando haver “concentração substancial na indústria que provê equipamentos no setor de telecom”, o que afeta planejamento de redes e se manifesta também no debate sobre segurança. E destaca que as empresas têm buscado modelos abertos como do OpenRAN para buscar maior diversidade de fornecedores. Já o texto do regulamento em si não traz nada referente à multiplicidade de fornecedores nem aos aspectos competitivos na oferta de equipamentos.

O presidente da Anatel colocou em seu voto que etapas como certificação e homologação de equipamentos são de “vigilância prévia, geral e universal, baseada em cautela”. Mas que, se mesmo depois disso acontecerem problemas de segurança, a agência pode ter em mãos “outros mecanismos regulatórios de prevenção”, como exigir novas avaliações de conformidade, suspender as autorizações expedidas, “determinar providências complementares ou mesmo proibir a utilização em determinados acessos, sítios e serviços”.

O regulamento, por sua vez, é incisivo no “enforcement” previsto. Diz que “aspectos de Segurança Cibernética devem ser considerados nos procedimentos relativos à avaliação da conformidade e homologação de produtos e equipamentos para telecomunicações” e que, “sem prejuízo da adoção de outras medidas necessárias para o cumprimento do disposto neste Regulamento, a Anatel pode, motivadamente, determinar a observação de requisitos técnicos e a adoção de medidas específicas na implementação, operação e manutenção das redes de telecomunicações quanto à Segurança Cibernética”.

No entanto, a responsabilidade de custear as medidas de segurança cibernética caberá às operadoras. Segundo o regulamento aprovado, “a prestadora é integralmente responsável pelos ônus decorrentes da adoção e execução da Política de Segurança Cibernética e demais condutas e procedimentos exigidos neste Regulamento” e cabe a ela se adequar aos dispositivos em 180 dias. Ou seja, caso haja alguma imposição de troca de equipamentos ou medidas de mitigação, a conta vai para as operadoras.

Razoabilidade vs. abrangência

Apesar da redação dada ao regulamento, Euler, em seu voto, diz que “a Anatel deve ser guiada por razoabilidade e motivação na hipótese de pedir que a prestadora substitua, ou não utilize [o equipamento] ou cesse imediatamente. Ainda que isso repercuta negativamente sobre a operação”.

O conselheiro Moisés Moreira acompanhou o voto de Leonardo Euler, mas discordou da inclusão de fornecedores no escopo da atuação da Anatel. O argumento é que a proposta de incluir empresas direta ou indiretamente ligadas ao ecossistema de telecomunicações “extrapola as competências da agência conforme o artigo 19 da LGT”. No dispositivo, consta que cabe ao órgão expedir normas e padrões a serem cumpridos por prestadoras. “A LGT limita o relação com fornecedores no que se refere a certificação de produtos. A Anatel expede normas voltadas a prestadoras, e não a fornecedores”, declarou Moreira. Apesar de ter considerado esse entendimento, o conselheiro Emmanoel Campelo acabou acompanhando o voto de Euler.

O presidente da Anatel, em seu voto, dá especial atenção à relação entre os aspectos de segurança cibernética e a chegada do 5G, que segundo ele, “ganhou grande relevo nos últimos meses no espaço geopolítico das relações internacionais e nas discussões sobre a estratégia econômico-industrial a ser adotada pelo País para o desenvolvimento de sua economia digital”. Ainda assim, diz Euler, “ambas vertentes, geopolítica e macroeconômica, estão alheias à jurisdição desta Agência, que deve, por seu turno, concentrar seus esforços nos aspectos tecnológicos e mercadológicos concernentes à expansão e massificação das redes e serviços de telecomunicações”. Ele aponta que o mercado de vendors de telecomunicações é oligopolista e que este fato “impõe pressão adicional sobre sua estabilidade, com efeitos sobre a capacidade e a velocidade de disponibilização de novas tecnologias e, por fim, sobre o preço final do serviço ao consumidor”.

GT restrito

Conforme o regulamento aprovado, o GT-Ciber será coordenado por um superintendente da Anatel e contará com a “participação das prestadoras com Poder de Mercado Significativo”, mas caberá ao GT estabelecer formas de aplicar a regulamentação também às Prestadoras de Pequeno Porte, respeitada a razoabilidade das medidas em proporção ao tamanho da empresa. Também há a possibilidade de que o superintendente coordenador do GT franqueie a “participação dos representantes das prestadoras ou de suas associações e dos órgãos e entidades afetos, nos temas de interesse dessas empresas, órgãos e entidades”.

O GT-Ciber deverá remeter à Superintendência de Planejamento e Regulamentação (SPR) em 150 dias a partir da instauração contribuições à minuta da resolução com “proposta de incluir ou dispensar, total ou parcialmente, da incidência das obrigações em segurança cibernética outros agentes do setor de telecomunicações ainda não abrangidos pelo regulamento”. Além disso, deverá avaliar a viabilidade de modelagem complementar à estrutura prevista para a constituição de uma entidade para creditação de conformidade em boas práticas de segurança cibernética.

A SPR terá 90 dias para o recebimentos dos subsídios do GT-Ciber e promoção de instruções complementares que julgar pertinentes, submetendo de volta ao conselho depois de oitiva da Procuradoria Federal Especializada (PFE).