Capítulo 4. Aumentando a confiança na economia digital

2000-12: Os primeiros passos da política de segurança digital no Brasil

Esse período se caracterizou pelo estabelecimento dos fundamentos, tendo como foco a segurança digital na administração pública (Quadro 4.1) Em 2000, o governo estabeleceu uma política de segurança da informação para os órgãos de administração pública federal e criou um Comitê Gestor da Segurança da Informação (CGSI), encarrregado de assessorar a Secretaria Executiva do Conselho de Defesa Nacional em sua implementação.1 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), foi criada em 2001. O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CITR Gov) foi estabelecido em 2004. A partir de 2006, o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) foi designado como órgão principal para questões de segurança e, com os anos, adotou três instruções gerais e 22 padrões complementares (a partir de 2019). O Tribunal de Contas da União (TCU) monitorou a sua implementação pela administração pública federal por meio de pesquisas seguidas de recomendações. O Livro Verde sobre Segurança Cibernética no Brasil de 2010 (GSI/PR, 2010), que inclui recomendações quanto à determinação de uma política nacional de segurança cibernética, pode ser visto como a primeira tentativa de conduzir a política de segurança digital a partir de uma perspectiva holística e estratégica.

2012-17: Maior atenção a, e foco em aspectos de segurança nacional

A partir de 2012, eventos importantes criaram as condições necessárias para aumentar a capacidade de segurança digital operacional do país, ao mesmo tempo que enfatizaram a dimensão da segurança digital sobre a segurança nacional e aumentaram a conscientização sobre a privacidade e as liberdades civis em relação à Internet.

Entre 2012 e 2016, o governo ampliou de maneira significativa sua capacidade de segurança digital operacional, a fim de proteger diversos megaeventos realizados no Brasil, como a Conferência das Nações Unidas sobre Desenvolvimento Sustentável (Rio+20 em 2012), Jornada Mundial da Juventude (2013), Copa das Confederações (2013), Copa do Mundo (2014), e as Olimpíadas e Paralimpíadas (2016). O Ministério da Defesa exerceu papel operacional importante, inclusive por estabelecer um Centro de Monitoramento Cibernético (Demetrio, 2012) e cooperar com diversos órgãos, além de equipes públicas e privadas de resposta a emergências, administrando a situação com êxito (Hurel e Cruz Lobato, 2018).

Em 2013, a revelação de atividades estrangeiras de espionagem no Brasil levou à criação de uma Comissão Parlamentar de Inquérito (CPI) da Espionagem, o que destacou a fragilidade da segurança cibernética do país a partir da perspectiva da segurança nacional. O relatório final da CPI recomendava a definição de uma Estratégia Nacional de Segurança Cibernética, a adoção de medidas para coordenar ações públicas e privadas nessa área, e a criação de uma agência de segurança cibernética dentro da administração pública federal, para tratar da questão de um modo abrangente e mais efetivo.

Durante o mesmo período, considerável atenção pública foi dada à privacidade e às liberdades civis em relação à Internet, em especial por meio de consultas públicas em torno da adoção do Marco Civil da Internet, estabelecendo princípios, garantias, direitos e obrigações em relação ao uso da Internet no Brasil (abril de 2014).2

Em 2014, no entanto, os resultados de uma auditoria realizada pelo TCU enfatizaram um nível relativamente baixo de implementação dos requisitos de segurança digital existentes por parte da administração pública federal. Segundo o TCU, a maior parte dos órgãos de administração pública federal não estava ciente de sua exposição a riscos de TI, da probabilidade da ocorrência de incidentes e/ou possíveis impactos na realização de seus objetivos. Além do mais, muitas empresas públicas, apesar de conhecerem os riscos de TI, não os mantinham em níveis aceitáveis ou não lhes davam o devido valor. O TCU enfatizou o baixo nível de maturidade no que diz respeito ao processo de gestão de riscos na administração pública. O TCU destacou ainda que essa situação aumentava a probabilidade de o TI não apresentar os resultados às empresas no prazo, com o custo e nível de qualidade combinados e, em consequência, afetar a realização dos objetivos comerciais das entidades. Por exemplo, só 25% das empresas auditadas haviam estabelecido diretrizes para a gestão de riscos de TI, e só 8% delas estavam plenamente alinhadas com os requisitos existentes. Somente 13 de 355 empresas auditadas haviam definido formalmente seus níveis aceitáveis de riscos de segurança de TI (isto é, apetite por riscos).3

Nesse contexto, o GSI/PR desenvolveu a Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal, 2015-2018. Após descrever o panorama e o contexto, o documento estabeleceu a missão e visão estratégica, definiu 7 valores estratégicos, 11 princípios e 10 objetivos estratégicos com metas a serem atingidas até 2018.

2018 até o presente: Segurança digital no contexto da transformação digital no Brasil

Iniciou-se uma nova fase em março de 2018, com a publicação da Estratégia Brasileira para a Transformação Digital (veja o Capítulo 1), que inclui um eixo temático focado em “fortalecer a confiança no ambiente digital”, que tem por objetivo “transformar a Internet em um ambiente seguro e propício a serviços e operações comerciais, pautado pelo respeito ao direito dos cidadãos”. Esse eixo temático aborda a “defesa e segurança no ambiente digital” e a “proteção dos direitos e privacidade”.

Segundo a Estratégia para a Transformação Digital, importantes progressos na área da “defesa cibernética” foram feitos ao longo dos anos, mas o Brasil ainda precisa melhorar seu marco regulatório e institucional a fim de superar os desafios da digitalização da sociedade e da economia. A estratégia alega que a segurança digital deve ser vista como prioridade nacional e que deveria ser desenvolvida uma “estratégia de defesa e segurança cibernética”. A Estratégia para a Transformação Digital destaca que a cooperação entre os setores público e privado, é um fator essencial para a eficácia das ações conjecturadas em futuros planos e estratégias. A referida estratégia identifica ações, incluindo a necessidade de intensificar o nível de segurança digital na administração pública; proteger a infraestrutura nacional crítica; aumentar a conscientização da população; aperfeiçoar as competências de segurança digital nos setores público e privado; investir em pesquisa e desenvolvimento; desenvolver métricas e modelos de compartilhamento de informações; além de aumentar a cooperação internacional.

Em dezembro de 2018, o governo publicou um decreto estabelecendo a Política Nacional de Segurança da Informação (PNSI).4 Desenvolvido pelo GSI/PR, esse decreto estabelece 16 princípios e 7 objetivos. Ele estabelece a base legal para o desenvolvimento de uma estratégia nacional de segurança da informação e de planos nacionais para a sua implementação com detalhes tais como planejamento, organização, uso de recursos e atribuição de responsabilidades. A PNSI também inclui medidas relacionadas a funções e responsabilidades no que tange à segurança da informação no âmbito da administração pública (veja abaixo).

Em 2019, o GSI/PR iniciou um processo para redigir a Estratégia Nacional de Segurança Cibernética recomendada na PNSI. Para instruir o desenvolvimento da estratégia, o GSI/PR organizou um processo de consultoria inspirado por aquele realizado para a estratégia digital. O processo incluiu uma consultoria de 7 meses com 31 reuniões nas quais 40 especialistas de órgãos governamentais, empresas e universidades, estiveram reunidos em 3 grupos de trabalho. Tendo como base as informações obtidas, o GSI/PR elaborou a Estratégia Nacional de Segurança Cibernética - E-Ciber, divulgada em setembro de 2019 para uma consulta pública de 20 dias por intermédio da plataforma governamental participativa.5 Quarenta e um participantes, incluindo 31 indivíduos e 10 organizações, postaram um total de 166 comentários na plataforma. A estratégia final foi adotada em 5 de fevereiro de 2020.6

A visão da estratégia é a de que o Brasil “se torne um país de excelência em segurança cibernética”. Os objetivos da estratégia são: tornar o Brasil mais próspero e confiável no ambiente digital; aumentar a resiliência brasileira às ameaças cibernéticas; e fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

A estratégia enfoca as dez ações seguintes:

1. 1. Fortalecer as ações de governança em segurança cibernética, por parte do setor público e do setor privado. Essa ação inclui realizar fóruns, estabelecer requisitos mínimos nas contratações pelos órgãos públicos, incentivar padrões e normas do GSI/PR, incentivar padrões internacionais de segurança e proteger dados desde a sua concepção (by design) e por padrão (by default), designar um gestor de segurança da informação, recomendar uma certificação de segurança digital conforme padrões internacionais etc.

2. 2. Estabelecer um modelo centralizado de governança no âmbito nacional. Será criado um sistema nacional de segurança cibernética com a finalidade de promover uma coordenação dos atores que vá além da esfera federal, promover a análise conjunta dos desafios enfrentados no combate a crimes cibernéticos, auxiliar na formulação de políticas públicas, criar um conselho nacional de segurança cibernética e criar grupos de debate em diferentes setores etc.

3. 3. Promover um ambiente participativo, colaborativo, confiável e seguro entre o setor público, o setor privado e a sociedade. Essa ação tem por finalidade estimular o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas, realizar treinamentos, fortalecer o CERT (CTIR Gov) nacional, emitir alertas e recomendações, estimular o uso de criptografia etc.

4. 4. Elevar o nível de proteção do Governo, incluindo incentivar o uso de dispositivos de comunicação seguros, manter atualizados os sistemas de informação, recomendar o uso de mecanismos de backup, incluindo requisitos de segurança digital nos processos de privatização etc.

5. 5. Elevar o nível de proteção das infraestruturas críticas nacionais mediante o incentivo de interações entre órgãos regulatórios setoriais, incentivar a adoção de políticas de segurança digital aprimoradas pelos operadores de infraestruturas críticas, incentivar a sua participação em treinamentos e a notificação de incidentes ao CTIR Gov.

6. 6. Aprimorar o marco legal de segurança cibernética, incluindo atualização do marco atual, modificação do Código Penal para incluir crimes cibernéticos, criação de políticas de incentivo para reduzir a deficiência de mão de obra especializada em segurança cibernética, e preparação de um Projeto de Lei sobre segurança cibernética.

7. 7. Incentivar a concepção de soluções inovadoras em segurança digital a fim de alinhar projetos acadêmicos com a demanda econômica. Por exemplo, incluir a segurança digital em programas de pesquisa, incentivar a criação de centros de pesquisa e desenvolvimento sobre segurança digital, estimular a criação de startups de segurança digital, incentivar a adoção de padrões globais para facilitar a interoperabilidade em escala internacional; estabelecer requisitos mínimos para a tecnologia 5G.

8. 8. Ampliar a cooperação internacional do Brasil em segurança digital. Inclui a promoção de discussões em grupos internacionais dos quais o Brasil é membro, expandir as relações na América Latina, promover eventos e exercícios internacionais, ampliar acordos de cooperação etc.

9. 9. Ampliar as parcerias de segurança digital entre os setores público, privado, acadêmico e a sociedade. Possíveis ações incluem parcerias a fim de incentivar investimentos privados na segurança digital, reuniões com atores de destaque em segurança digital etc.

10. 10. Elevar o nível de maturidade da sociedade em relação à segurança digital. Por exemplo, realizar ações de conscientização da população; incentivar órgãos públicos e a iniciativa privada a criar campanhas internas de conscientização; integrar a segurança digital na educação básica; incentivar a criação de cursos de nível superior; promover cursos de treinamento profissional, melhorar os mecanismos de integração, colaboração e incentivos entre universidades, institutos, centros de pesquisa e o setor privado etc.

A estratégia inclui um diagnóstico para distinguir entre eixos temáticos e eixos transformadores:

• Eixos temáticos: governança da segurança cibernética nacional, gestão de incidentes e proteção estratégica, isto é, proteção do governo e de infraestruturas críticas identificadas na Política Nacional de Infraestruturas Críticas (telecomunicações, energia, transporte, água, finanças).

• Eixos transformadores: dimensão normativa, pesquisa, desenvolvimento e inovação; dimensão internacional e parcerias estratégicas; educação.

Em julho de 2019, o governo manifestou sua intenção de aderir à Convenção sobre Crimes Cibernéticos (Convenção de Budapeste). Em dezembro de 2019, o Comitê de Ministros do Conselho da Europa convidou o Brasil a integrar a Convenção (Ministério das Relações Exteriores, 2019).

O GSI/PR está no centro da governança da segurança digital

A responsabilidade do GSI/PR abrange três áreas:

• Padrões de segurança da informação e suas implementações: determinar as normas para a gestão de riscos de segurança da informação nos órgãos e entidades da administração pública federal; aprovar diretrizes, estratégias, normas e recomendações; e elaborar e implementar programas sobre segurança da informação, objetivando elevar a conscientização e a capacitação da administração pública e da sociedade.

• Políticas públicas: acompanhar a evolução doutrinária e tecnológica nacional e internacional; elaborar e publicar a Estratégia Nacional de Segurança da Informação em colaboração com o Comitê Interministerial para a Transformação Digital (veja abaixo); apoiar a elaboração de planos nacionais relacionados à Estratégia Nacional de Segurança da Informação; estabelecer os critérios para a avaliação da execução da PNSI; e propor a publicação dos atos normativos necessários para a sua execução.

• Produtos: estabelecer os requisitos mínimos de segurança para o uso de produtos que incorporem recursos de segurança da informação, os quais são obrigatórios para a administração federal; esses requisitos não são obrigatórios no caso do mercado brasileiro em geral e, nesse caso, servem somente como recomendação.

O GSI/PR é um dos órgãos da Presidência da República. Ele é chefiado por um ministro que se reporta diretamente ao Presidente, a exemplo de todos os demais ministros brasileiros. O Gabinete de Segurança Institucional é responsável por analisar e monitorar questões relacionadas a potenciais riscos de estabilidade institucional; coordenar as atividades de inteligência federal e fornecer recomendações em questões militares e de segurança, além de outras funções de suporte ao Presidente.7 Até 2019, questões de segurança digital eram de responsabilidade do Departamento de Segurança da Informação e Comunicações (DSIC), no âmbito da Secretaria de Coordenação de Sistemas, que também responde por questões nucleares e espaciais.

Em 2019, o DSIC foi elevado de departamento a secretaria. Na comparação com um departamento, a secretaria se reporta diretamente ao ministro, administra seu próprio orçamento e dispõe de mais recursos. A Figura 4.4 mostra onde o Departamento de Segurança da Informação se situa dentro da estrutura mais ampla do GSI/PR. Essa evolução significativa, reflete o aumento da conscientização em relação à importância da segurança digital no governo. Com um orçamento de BRL 1.7 milhão (USD 433 000), a secretaria tinha 30 funcionários em janeiro de 2020 (incluindo 8 que trabalhavam para o CTIR.gov, veja abaixo), o que representa um aumento de 100% na comparação com 2019.

Figura 4.4. Governança institucional para a segurança da informação no Brasil

Nota: Essa visão geral simplificada da estrutura do Gabinete de Segurança Institucional da Presidência da República não inclui todas as entidades do escritório.

Fonte: OCDE, com base em www.gsi.gov.br/sobre/estrutura.

A maioria dos mais altos cargos no GSI/PR é ocupada por oficiais militares de alta patente.8 O GSI/PR também abrange a Agência Brasileira de Inteligência (ABIN) e a Secretaria de Assuntos de Defesa e Segurança Nacional, que se ocupa de questões relativas à segurança de infraestruturas críticas, coordena a gestão de crises e executa ações em torno da prevenção de crises. No entanto, muitos dos cargos recém-criados no Departamento de Segurança da Informação, são ocupados por funcionários de outros Ministérios, da Anatel e de empresas públicas.

O Departamento de Segurança da Informação (DSI) é responsável por:9

• planejar e supervisionar a segurança da informação no âmbito da administração pública federal, incluindo gestão de incidentes, proteção de dados,10 credenciamento de segurança e manuseio de informações confidenciais

• formular e implementar as políticas de segurança da informação da administração pública

• elaborar requisitos metodológicos e normativos relacionados à segurança da informação no âmbito da administração pública federal

• gerir os CSIRTs (CTIR.Gov) do governo, coordenando e realizando ações relativas à gestão de incidentes e coordenando a rede de CSIRTs de órgãos e entidades governamentais

• propor e participar de tratados, acordos ou atos internacionais relacionados à segurança da informação

• atuar como órgão central de credenciamento de segurança para o tratamento de informação classificada

• fiscalizar o credenciamento de segurança de pessoas físicas, empresas, órgãos e entidades, para o tratamento de informações sigilosas

• articular com os governos dos estados, do Distrito Federal e dos municípios, com a sociedade civil, e com órgãos e entidades do governo federal, o estabelecimento de diretrizes para as políticas públicas de segurança da informação.

O departamento inclui três coordenações principais:

1. 1. A Coordenação-Geral do Núcleo de Segurança e Credenciamento (CGNSC ),11 que trata de questões relacionadas à classificação de informações no governo.

2. 2. A Coordenação-Geral de Gestão da Segurança da Informação e Comunicações, (CGSIC),12 que elabora propostas para diretrizes de segurança da informação, estratégias, normas e recomendações; desenvolve propostas para o Plano Nacional de Segurança da Informação e monitora a sua execução; planeja e coordena medidas para orientar a implementação da segurança da informação, por exemplo, para aumentar a conscientização e o treinamento; e monitora a evolução doutrinária e tecnológica de atividades relacionadas à segurança da informação no âmbito nacional e internacional.

3. 3. A Coordenação-Geral do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, CGCTIR (CTIR.Gov), o CSIRT13 do governo (descrito abaixo).

O CGSI, que abrange 21 ministérios e órgãos governamentais cobrindo grande parte da administração pública federal, fornece recomendações ao GSI/PR. O CGSI se reúne ao menos duas vezes ao ano e pode estabelecer até quatro subgrupos temporários que não podem ter mais de sete membros. O GSI/PR serve como secretaria executiva do CGSI.14 A operacionalização adicional desse comitê e a criação de grupos de trabalho, é um dos principais objetivos do DSI em 2020. Por exemplo, um grupo de trabalho no âmbito do Ministério da Economia está explorando os aspectos econômicos da segurança digital no Brasil.

Em novembro de 2018, o governo brasileiro publicou o Decreto 9.573, estabelecendo a Política Nacional de Segurança de Infraestruturas Críticas. A política tem como finalidade garantir a segurança e a resiliência da infraestrutura crítica do país e a continuidade dos serviços. Os princípios dessa política são: prevenção e precaução; integração entre diferentes esferas governamentais e do setor privado, além de outros segmentos da sociedade; redução de custos para a sociedade resultante de investimentos em segurança; e salvaguarda da defesa e da segurança nacional. A política também estabelece o Sistema Integrado de Dados de Segurança de Infraestruturas Críticas, a Estratégia Nacional de Segurança de Infraestruturas Críticas e o Plano Nacional de Segurança de Infraestruturas Críticas. Para tratar da complexidade da segurança digital de infraestruturas críticas, pretende-se estabelecer uma organização central para coordenar todos os atores envolvidos, públicos ou privados, além de exigir responsabilidade e ação.

Cada entidade do setor público é responsável por sua segurança digital

A PNSI estabelece um princípio geral, segundo o qual cada órgão e entidade da administração pública é responsável pela gestão da segurança digital em sua própria esfera de ação, inclusive por meio da elaboração de sua política de segurança da informação, designação de um gestor interno de segurança da informação, estabelecimento de um comitê de segurança da informação, treinamentos etc.15

O Ministério da Transparência e Controladoria-Geral da União é responsável por auditar a implementação das atividades da PNSI, sob a responsabilidade de organismos e entidades federais.

Banco Central do Brasil

Em abril de 2018, o Banco Central do Brasil (BCB) publicou uma resolução16 para estipular a política de segurança digital e requisitos sobre processamento e armazenamento de dados, incluindo a computação em nuvem. Tais requisitos devem ser observados por instituições financeiras, e outras organizações autorizadas pelo BCB a operar no mercado financeiro.

As instituições financeiras devem implementar e manter um modelo de políticas de segurança digital, respeitando os princípios e diretrizes de confidencialidade, integridade e disponibilidade de sistemas de informação e de dados.

O modelo de políticas deve incluir: os objetivos da segurança digital da instituição; procedimentos e controles para reduzir a sua vulnerabilidade; classificação de dados e informações por ordem de relevância; definição de parâmetros para avaliar incidentes; mecanismos para a disseminação da cultura de segurança digital na instituição; e iniciativas de compartilhamento de informações a respeito de incidentes importantes.

O BCB estabeleceu outros requisitos, como a divulgação da política de segurança digital a todos os funcionários; planos de ação e resposta a incidentes; rígidas medidas de segurança ao contratar processamento de dados, armazenamento e computação em nuvem; e estabelecer mecanismos de monitoramento e controle para assegurar a implementação e a eficácia da política de segurança digital.

O BCB pode excluir ou restringir contratos de serviços de processamento de dados, armazenamento e computação em nuvem, sempre que detectar não conformidades em relação aos termos da resolução ou outros regulamentos do BCB. O BCB pode, então, estabelecer um prazo para o restabelecimento da conformidade.

A expertise técnica de segurança digital do BCB depende, em parte, de seu CSIRT, que presta serviços ao setor financeiro e está em contato com grandes bancos no país.

ComDCiber (Ministério da Defesa)

Questões relacionadas à segurança nacional e à defesa cibernética nacional que não fazem parte do escopo desta seção, são de responsabilidade do Comando de Defesa Cibernética (ComDCiber) e do Centro de Defesa Cibernética (CDCiber), ambos organismos especializados sob o comando do Exército Brasileiro. No entanto, é importante destacar o papel do ComDCiber, que dispõe de recursos e pessoal significativamente maiores que o GSI/PR, especialmente no nível técnico, e pode tomar iniciativas que não se limitam estritamente à proteção na área da defesa, tais como o Exercício Guardião Cibernético.

A segunda edição do Exercício Guardião Cibernético ocorreu de 2 a 4 de julho de 2019 no ComDCiber em Brasília. Cerca de 200 membros de 40 organizações participaram desse treinamento simulado de segurança digital, incluindo representantes dos setores financeiro, nuclear, elétrico e de telecomunicações. O ComDCiber conduziu o treinamento simulado em um ambiente compartilhado com outros órgãos. A iniciativa promoveu a ação colaborativa entre órgãos governamentais, o meio acadêmico, organizações do setor privado e a comunidade de segurança e defesa em geral.

A simulação virtual usou o programa Simulador de Operações Cibernéticas (SIMOC), que emulou sistemas computacionais usados pelos órgãos e empresas participantes. A simulação construtiva usou tecnologia da informação, mídias, gabinetes de crise de departamentos jurídicos e de gestão sênior, que forneceram soluções para incidentes de segurança que poderiam impactar as referidas organizações. As discussões nos gabinetes de crise resultaram em ações no nível de tomada de decisão e gestão (gestão de crises) e no nível técnico (resposta a incidentes). Por meio do SIMOC, situações de ataque contra infraestruturas críticas foram reproduzidas em ambientes elétricos, de telecomunicações, financeiros e nucleares.

Por exemplo, o exercício nuclear abrangia três grupos trabalhando em cooperação: o gabinete de crise, a equipe de implementação do marco regulatório nuclear e a equipe de teste de sistemas digitais. A equipe de testes de sistemas usou um simulador para testar os sistemas digitais instalados em usinas nucleares, que faz as vezes de ferramenta de treinamento cibernético. O simulador é parte de um projeto da Agência Nacional de Energia Atômica, desenvolvido pelo Centro de Tecnologia da Marinha e da Universidade de São Paulo. Ele é usado por 17 instituições de 13 países.

Os participantes atuaram de maneira colaborativa, a fim de prevenir e resolver incidentes envolvendo ativos da informação importantes à defesa nacional. Com esse treinamento, o ComDCiber tem como objetivo integrar o governo, o setor privado e o meio acadêmico na melhora da proteção do ciberespaço nacional.

Outros atores da governança da segurança digital no Brasil

O foco principal da segurança digital do Brasil na segurança nacional está evoluindo para incluir aspectos econômicos e sociais

O foco das políticas de segurança digital no Brasil evoluiu de uma dimensão técnica de 2000-11, para uma dimensão de segurança nacional de 2012-18, impulsionado em parte pela organização de megaeventos e pelas revelações de Edward Snowden sobre a espionagem cibernética dos Estados Unidos. A missão abrangente da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética na Administração Pública Federal 2015-2018, que tinha por objetivo “assegurar e defender os interesses do estado e da sociedade para a preservação da soberania nacional”, ilustra essa evolução.

A Estratégia para a Transformação Digital de 2018, que tem como objetivo “adotar a transformação digital como oportunidade para a nação inteira dar um salto adiante”, é a primeira política brasileira a tratar a segurança digital como parte de uma ampla agenda de prosperidade e não somente do ponto de vista da segurança nacional. A segurança digital é apresentada como parte de um eixo temático de capacitação sobre “confiança” e ações estratégicas recomendadas, que focam basicamente em medidas que podem apoiar a transformação digital no Brasil do ponto de vista econômico e social. O eixo temático também trata da “proteção de direitos e da privacidade”, repercutindo a dimensão da política de confiança no Marco de Políticas Integradas “A Caminho da Era Digital” da OCDE (OCDE, 2019a). A Estratégia para a Transformação Digital pode, por isso, ser vista como um primeiro passo em direção à ampliação do escopo das políticas de segurança digital brasileiras, a fim de gerar prosperidade econômica e social.

A PNSI, publicada mais tarde em 2018, inclui soberania nacional e direitos humanos como primeiro e segundo princípios, mas não considera a prosperidade econômica e social como um objetivo da segurança digital.

Uma comparação desses dois documentos mostra que essa evolução é progressiva. É provável que cada documento reflita a perspectiva do órgão governamental que o preparou, a saber, o Ministério da Ciência, Tecnologia, Inovações e Comunicações para a Estratégia de Transformação Digital; e o GSI/PR para a PNSI. O teor da Estratégia Nacional de Segurança Cibernética e o processo de consulta realizado pelo GSI/PR para o seu desenvolvimento, demonstra que o Brasil caminha na direção de uma abordagem mais holística em relação à segurança digital, aumentando a ênfase na dimensão econômica e social.

O Brasil está na fase inicial da promoção da segurança digital na sociedade

A percepção geral entre os especialistas no Brasil, é a de que o governo está começando a elevar a segurança digital à posição de prioridade para a economia e a sociedade e que, exceto pelas empresas muito grandes e alguns órgãos públicos especiais, a maior parte dos atores públicos e privados não está dando atenção e recursos suficientes a essa questão.

Além disso, com o tempo, os documentos legais no Brasil vêm usando conceitos e termos diferentes para cobrir aspectos diferentes da segurança digital, incluindo segurança da informação, segurança cibernética, defesa cibernética, proteção de dados, além de termos relacionados, como ativos da informação, infraestruturas críticas, espaço cibernético etc. Quando disponíveis, as definições nem sempre têm sido consistentes ao longo do tempo, o que pode ser explicado por muitos fatores, incluindo o fato de que as abordagens em si vêm evoluindo. Mas as definições por vezes são confusas. Por exemplo, a PNSI define segurança da informação, como um termo que inclui segurança cibernética, defesa cibernética, segurança física e proteção de dados organizacionais; além de ações que têm como objetivo assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação (Artigo 2). Isso sugere que ações que têm como finalidade assegurar a disponibilidade, integridade, confidencialidade e autenticidade, são diferentes de segurança cibernética e defesa cibernética, termos estes que por si sós, não são ali definidos.25

Além disso, entrevistas realizadas para essa Revisão mostraram que, além de um círculo de especialistas em “segurança da informação”, há uma confusão generalizada entre segurança digital e “proteção de dados” (isto é, proteção da privacidade). Muitas partes interessadas não distinguem entre as duas áreas e não entendem a sua relação, incluindo como elas podem reforçar ou enfraquecer uma à outra. Essa situação deve se modificar após a implementação plena da lei de proteção de dados no Brasil.

Isso mostra que, a base conceitual para discutir a política de segurança digital no Brasil evoluiu consideravelmente na última década e, com a adoção da Estratégia Nacional de Segurança Cibernética, está entrando em uma nova fase.

Nessa conjuntura, um desafio importante para o Brasil é reconhecer que, embora em teoria, a “segurança cibernética” (ou “segurança da informação”, dependendo da terminologia preferida) possa ser vista como um desafio monolítico, ela é, na realidade, uma área multidimensional de políticas. Na prática, ela pode abranger ao menos quatro dimensões: 1) segurança nacional; 2) prosperidade econômica e social; 3) tecnologia; e 4) aplicação da lei (Figura 4.5).

Figura 4.5. As quatro dimensões da “segurança cibernética”

Os atores e comunidades que se ocupam de cada dimensão, têm diferentes culturas, formações e objetivos; e podem por vezes convergir, sobrepor-se ou competir, dependendo do contexto e da questão precisa. A política da criptografia é um exemplo típico de objetivos conflitantes: empresas, organizações e consumidores, promovem o uso não regulado da criptografia para gerar confiança, facilitar o e-commerce e apoiar governos digitais e inovação on-line, enquanto agentes da lei e de inteligência, pedem mais regulamentos para facilitar o acesso a dados criptografados, a fim de combater criminosos e terroristas. A segurança digital de atividades e infraestruturas críticas, é outro exemplo de uma área na qual podem surgir tensões entre prosperidade econômica e social, e objetivos de segurança nacional, dependendo da situação.

De maneira ideal, a terminologia deveria refletir distinções entre as dimensões da segurança digital. Por exemplo, para diminuir a confusão e potenciais mal-entendidos, a Recomendação sobre Riscos de Segurança, de 2015, usa o termo “digital” em vez do prefixo “ciber”. O termo “digital” é consistente com expressões que caracterizam o ponto de vista econômico e social das políticas de TIC, como em “economia digital”, “transformação digital”, “digitalização” etc. Ele também é comum em ambientes empresariais. Em contraste, o prefixo “ciber” é comumente usado em relação à aplicação da lei (crime cibernético), bem como em segurança nacional/internacional (guerra cibernética, defesa cibernética, espionagem cibernética, comando cibernético etc). A Recomendação sobre Riscos de Segurança também usa a expressão “ambiente digital” em vez de “espaço cibernético”, sendo este último mais comum em doutrinas militares como um domínio de operações que vai além dos domínios aéreo, marítimo e terrestre.

A principal prioridade do Brasil é aumentar a conscientização e promover a adoção de boas práticas de segurança digital entre as partes interessadas

O Brasil deu um importante passo adiante, com o reconhecimento da segurança digital como um facilitador de prosperidade econômica, na Estratégia Brasileira para a Transformação Digital (E-Digital). Alinhado com o primeiro princípio da Recomendação sobre Riscos de Segurança da OCDE (Quadro 4.2), a próxima etapa é aumentar a conscientização das empresas, das organizações públicas e dos indivíduos em relação à importância da segurança digital, para estimular a confiança e apoiar a transformação digital, além de incentivá-los a adotar boas práticas de segurança digital, melhorar suas competências em segurança digital e empoderá-los a gerir os riscos de segurança digital.

Para que isso seja possível, é importante compreender que, nas organizações, a segurança digital representa, basicamente, um desafio econômico e social em vez de só uma questão técnica, além da necessidade de entender a razão pela qual a gestão dos riscos de segurança deveria ser um processo empresarial, e não um processo técnico.

Primeiro, incidentes de segurança digital, em decorrência de insuficiente gestão de riscos de segurança digital, vão prejudicar os objetivos econômicos e sociais, as operações, a competitividade e a reputação da organização, além de afetar a confiança de seus clientes e usuários e, potencialmente, a privacidade deles. Por esse motivo, assegurar a gestão efetiva dos riscos de segurança digital, deveria ser algo de responsabilidade dos líderes das empresas (não da equipe técnica). Na medida em que a segurança digital pode ameaçar a organização como um todo, ela deveria ser vista como prioridade pelo nível mais alto de liderança e ter o apoio do conselho de uma maneira que abrangesse a organização toda.

Segundo, embora as medidas de segurança digital tenham como objetivo a proteção das atividades econômicas e sociais, também podem dificultá-las devido ao aumento de custos e redução do desempenho. Dificuldades podem igualmente surgir por causa da abertura e da natureza dinâmica do ambiente digital, que são essenciais para a concretização dos benefícios plenos da transformação digital. Os tomadores de decisão (ao contrário do quadro técnico) das empresas, devem ser responsáveis pelos riscos digitais relacionados às suas atividades empresariais, em vez de delegar a responsabilidade aos especialistas técnicos em segurança. Embora os especialistas técnicos em segurança compreendam os aspectos técnicos dos riscos de segurança digital, não conseguem avaliar o possível impacto empresarial que as medidas de segurança têm em cada setor da empresa e em suas atividades de apoio. Mas os especialistas técnicos devem instruir os tomadores de decisão da melhor forma possível, para garantir que as decisões em torno da gestão de riscos ocorram com base em informações sólidas.

Por exemplo, uma opção para eliminar um vírus de um sistema pode ser desligar esse sistema, fazer a limpeza e então religá-lo. Embora tal decisão possa soar técnica, ela é, de fato, empresarial. Afinal, a interrupção do sistema pode acarretar consequências comerciais negativas, como, por exemplo, a paralização de uma linha de produção, ou a impossibilidade de registrar pedidos de clientes etc. O tomador de decisão que é responsável pela interrupção do sistema, também deve ser responsável pelas possíveis consequências negativas da decisão. Mas ele depende dos especialistas técnicos, para poder avaliar o risco técnico da maneira mais exata possível e tomar uma decisão bem fundada em relação à gestão desse risco.

Por último, embora tenham por objetivo criar confiança, as medidas de segurança digital também podem minar a confiança, por levantar suspeitas em relação aos direitos humanos ou aos valores fundamentais, especialmente a privacidade. A segurança digital e a proteção da privacidade podem reforçar ou minar uma à outra, dependendo de como são geridas. É essencial, portanto, que a segurança digital e a proteção da privacidade sejam tratadas de uma maneira consistente, inclusive do ponto de vista jurídico e ético.

Consequentemente, os líderes e tomadores de decisão das organizações, devem adotar uma abordagem empresarial (em vez de tecnológica), que conduza à seleção e à gestão mais apropriada das medidas de segurança digital, em face das atividades econômicas e sociais em jogo, e da necessidade de haver confiança. Eles devem entender e ser responsáveis pelos riscos de segurança digital, além de trabalhar em cooperação com os especialistas técnicos em segurança ao tomar suas decisões relativas à segurança digital.

Isso quer dizer que as políticas públicas que pretendem incentivar as empresas e as organizações públicas a aumentarem sua segurança digital, devem ter como alvo os líderes e tomadores de decisão, e também os profissionais e especialistas de TIC, em vez de só esses últimos.

As políticas brasileiras promovem uma abordagem de gestão de riscos em relação à segurança digital (p.ex., a PNSI, Artigo 3-VIII) e incentivam a implementação de padrões de gestão de riscos de segurança da informação na administração pública. No entanto, elas se concentram basicamente na proteção de sistemas de informação, redes e dados, em vez de nas atividades econômicas e sociais que dependem delas. Em outras palavras, as políticas brasileiras tratam segurança digital como uma questão técnica e não uma questão econômica e social. A maioria dos países seguiram na mesma direção, em ritmos diferentes, e muitos estão lutando para mudar de uma abordagem técnica para uma abordagem econômica e social, no que diz respeito à segurança digital. O desenvolvimento da Estratégia Nacional de Segurança Cibernética oferece uma oportunidade para que o Brasil progrida nessa área.

O Brasil deveria estabelecer uma governança mais robusta e com melhores recursos em relação à segurança digital

A Estratégia Brasileira para a Transformação Digital, a PNSI e a Estratégia Nacional de Segurança Cibernética abrangem muitos aspectos importantes de um marco de políticas de segurança digital atualizado. Incluem-se padrões e normas de segurança digital na administração pública, aumento da conscientização, desenvolvimento da educação e de competências, pesquisa e inovação, proteção de infraestruturas críticas etc. No entanto, a maioria é tratada num nível muito alto e as medidas para a implementação ainda não foram definidas. Planos de implementação devem preencher essas lacunas. A definição e a implementação de muitos desses planos vai exigir a colaboração entre vários órgãos do governo federal, organismos regionais e locais, além de partes interessadas não governamentais.

A Estratégia Brasileira para a Transformação Digital e a PNSI, também mencionam direitos humanos, valores fundamentais e privacidade, além da colaboração entre as partes interessadas. Essas áreas são particularmente importantes e podem representar um desafio para o Brasil.

Desde 2006, a governança da segurança digital vem sendo coordenada pelo GSI/PR, entidade que desenvolveu certo grau de expertise nessa área, mas que é caracterizada por sua cultura nacional de segurança/militar. Durante esse período, alguns criticaram

O Departamento de Segurança da Informação do GSI/PR se reporta ao mesmo ministro que a Agência Brasileira de Inteligência.

Um desafio importante para o GSI/PR, será o de construir uma relação de confiança com outros órgãos governamentais em diferentes âmbitos (p.ex., federal, regional, local etc), empresas (incluindo empresas estrangeiras) e atores não-governamentais a fim de estabelecer uma parceria de longa duração para promover a segurança digital em prol da prosperidade do Brasil.

O Departamento de Segurança da Informação do GSI/PR evoluiu de maneira significativa com o tempo. Seu quadro de pessoal é maior e mais diversificado, goza de maior reconhecimento no âmbito político, especialmente depois de sua elevação à condição de secretaria. O Departamento também adotou uma cultura mais aberta, ilustrada pelos grupos de trabalho organizados para desenvolver o primeiro rascunho da Estratégia Nacional de Segurança Cibernética, por meio da consulta pública realizada a fim de reunir informações para o documento. Muitas partes interessadas elogiaram essa evolução, observando, no entanto, que o processo de consulta poderia ter-se beneficiado de uma maior publicidade a fim de envolver mais atores. Trata-se, definitivamente, de um passo na direção certa.

Outro desafio importante, é o fato de o GSI/PR não ter competência para regular o setor privado. Em vez de regular, ele publica padrões, torna a sua implementação obrigatória pela administração federal e promove a sua adoção voluntária por parte de outras partes interessadas, incluindo diversos outros meios, como exigir a conformidade com esses padrões no caso de licitações públicas. A abordagem de governança geral brasileira, no que que diz respeito à regulação da segurança digital, é descentralizada: conforme ilustrado pelo exemplo do Banco Central acima, os reguladores setoriais são competentes para regular a segurança digital em suas áreas. Uma vez que não existe um órgão central de segurança digital no Brasil, os reguladores setoriais são convidados a se basear nos padrões e boas práticas fornecidos pelo GSI/PR. Essa abordagem está mais próxima da adotada pela Suécia e pelo Reino Unido, do que daquela adotada pela França.

Não existe um modelo universal de governança de políticas de segurança digital. Abordagens centralizadas e descentralizadas têm diferentes prós e contras. Por exemplo, a abordagem descentralizada permite que as regulações setoriais sejam concebidas por reguladores setoriais, para serem mais adequadas às especificidades do setor. No entanto, cria-se aqui a questão de cada regulador setorial agregar uma massa crítica suficiente de expertise, para ser capaz de criar um regulamento balanceado e efetivo, e de supervisionar a sua implementação. Também se cria uma situação na qual, as entidades reguladas podem ficar relutantes em compartilhar informações relacionadas à segurança digital, com um órgão governamental encarregado de regular suas atividades de maneira geral.

Via de regra, a maioria dos governos tem se esforçado para estabelecer a estrutura de governança mais apropriada na questão da segurança cibernética, tendo dificuldades para encontrar o equilíbrio correto entre aspectos econômicos e sociais, de segurança nacional, de aplicação do direito penal e de caráter técnico. Uma boa prática é reconhecer a necessidade de haver uma abordagem integral do governo (whole-of-government), cordenada no seu âmbito mais elevado e visando equilibrar os objetivos potencialmente conflitantes de cada dimensão. No entanto, novamente, não existe um modelo ‘tamanho único’ sobre como implementar essa boa prática. Estruturas de governança e mecanismos de coordenação variam de maneira considerável, refletindo a história do país, seu estilo de governo e a sua maturidade nessa área.

Por exemplo, Austrália, Japão e Reino Unido atribuíram a coordenação dessas políticas ao Primeiro Ministro, por meio de uma equipe que trabalha no seu Gabinete de Governo. A França estabeleceu uma agência de coordenação nacional, no âmbito de um órgão de coordenação pré-existente que é subordinado ao Primeiro Ministro (ANSSI) e Israel criou uma agência nacional que responde diretamente ao Primeiro Ministro (INCD); os Estados Unidos estabeleceram uma agência de segurança cibernética e de infraestrutura (CISA), em seu Departamento de Segurança Interna (Home Security); Canadá, Alemanha e Holanda atribuíram a principal responsabilidade pela segurança digital a um ministério existente (Segurança Pública; Interior; e Segurança e Justiça, respectivamente). Em todos esses casos, há diferentes arranjos no que diz respeito a qual órgão é, ou quais órgãos são responsáveis por questões operacionais e de políticas. Por exemplo, no Reino Unido, o Departamento de Cultura, Mídia e Esportes é responsável pela política econômica e social, enquanto o Centro Nacional de Segurança Cibernética responde pelos aspectos operacionais. Na França, por sua vez, ambos os aspectos são tratados em uma agência centralizada. Na Alemanha, o Ministério do Interior exerce a liderança no estabelecimento de políticas públicas, mas o Departamento Federal de Segurança da Informação, detém a competência e a responsabilidade técnica. Por último, a coordenação entre as várias partes interessadas, também é solidamente exercida nos diversos países, embora varie em sua forma. Em muitos países, foram redigidas diversas versões da estratégia de segurança cibernética inicial, até que um modelo de governança relativamente estável fosse estabelecido.

Implementação da estratégia

A adoção da estratégia é um excelente primeiro passo, mas agora é preciso que ele se traduza em itens de ação específicos. Nesse sentido, é importante reconhecer que o Brasil está em um estágio inicial de desenvolvimento na área e precisa adotar uma abordagem passo a passo, distinguindo prioridades de curto, médio e longo prazo.

Recomendações de políticas: Para desenvolver o cronograma de implementação da Estratégia Nacional de Segurança Cibernética, o governo deve elaborar e expandir os esforços de múltiplos atores envidados no desenvolvimento da estratégia. Por exemplo, o governo poderia criar uma ampla comunidade de líderes em segurança digital nos setores acadêmico, público e privado, juntamente com a sociedade civil, a fim de realizar encontros anuais para desenvolver o plano de implementação, e avaliar os progressos em sua implementação ao longo do tempo. Esses encontros também representariam uma oportunidade para que a comunidade brasileira de segurança digital como um todo, composta por várias partes interessadas, possa emergir, reunir-se e dialogar, inclusive por meio de uma conferência nacional. A comunidade poderia ter como meta, se tornar um dia, o principal evento de segurança cibernética no Brasil e na América Latina, a exemplo da Cyber Week israelense (Tel Aviv), da ONE Conference holandesa (Haia), do International Cybersecurity Forum da França (Lille) ou da Singapore International Cyber Week.

Pelo fato de estar em um estágio inicial, o aumento da conscientização e a educação, são fatores particularmente críticos. Na prática, o Brasil deve identificar as lacunas quanto à conscientização e conhecimentos sobre segurança digital, na sociedade, no governo, e entre as empresas, e os indivíduos. Nessa base, o país deve desenvolver um plano de ação, para reforçar os programas de treinamento e educação em segurança digital em todos os níveis (fundamental, médio e superior, além de treinamentos vocacionais), identificar os especialistas em segurança digital existentes que possam ensinar e formar treinadores, talvez por meio de um cadastro nacional de treinadores em segurança digital; e incentivar os estudantes a buscar carreiras no setor de segurança digital. A recém-publicada Estratégia Nacional de Segurança Cibernética (E-Ciber) aponta nessa direção.

Também será importante que o Brasil avalie periodicamente a eficácia de sua estratégia, conforme demonstrado pelas experiências dos países da OCDE. O Brasil se beneficiaria do desenvolvimento de ferramentas para avaliar a implementação da estratégia, examinar o progresso feito e a necessidade de revisá-la.

Recursos

Para implementar a Estratégia Nacional de Segurança Cibernética e corresponder à ambição de sua Estratégia para a Transformação Digital, o Brasil deverá fazer um esforço significativo e alocar mais recursos à segurança digital. Em um único ano, o governo dobrou os recursos para a segurança digital no GSI/PR. No entanto, com somente 30 pessoas tratando da segurança digital, incluindo 8 para resposta a incidentes, serão necessários mais recursos financeiros e humanos durante vários anos.

Recomendações de políticas: O governo deveria considerar a alocação de consideravelmente mais recursos para a segurança digital, como meio de garantir a implementação apropriada da Estratégia Nacional de Segurança Cibernética. Por exemplo, cada área abrangida pelo plano de implementação poderia receber um orçamento claro, por um período bem definido, a fim de atingir marcos igualmente claros e também mensuráveis. Os recursos não deveriam ser alocados somente à tecnologia, mas deveriam cobrir também todos os outros aspectos. Além disso, o governo poderia trabalhar com os setores privado e acadêmico para entender melhor o custo da atividade digital maliciosa sobre a economia.

Coordenação e responsabilidades descentralizadas

De acordo com a Estratégia Nacional de Segurança Cibernética, o GSI/PR vai continuar coordenando a segurança digital nacional. O GSI/PR é a instituição mais apropriada para promover a gestão de riscos de segurança digital junto ao setor privado, para incentivar a inovação na segurança digital, além de estimular a educação e o treinamento em relação à segurança digital etc.

Recomendações de políticas: Ao que parece, para obter os melhores resultados, o Brasil deveria seguir uma abordagem coordenada descentralizada, na qual diferentes ministérios e órgãos exerceriam a liderança em suas áreas de competência, dessa forma, alavancando sua expertise e suas redes, enquanto ao GSI/PR caberia um papel de coordenação. No entanto, no momento, a expertise em segurança digital existente é limitada e poderia ser alavancada fora do GSI/PR, para desenvolver iniciativas mais customizadas sob a liderança de outros ministérios e órgãos. Uma opção seria o Brasil treinar especialistas em políticas de segurança digital a fim de, progressivamente, capacitar cada ministério e órgão a iniciar o desenvolvimento e a implementação de planos de ação em suas respectivas áreas.

Diálogo com múltiplos atores

Será a cultura militar e de segurança nacional inerente ao GSI/PR, apropriada no longo prazo, para promover a segurança digital como um desafio econômico e social, e para facilitar relacionamentos de confiança com todos os atores econômicos e sociais? A segurança digital é uma prioridade das políticas econômicas e sociais que exige a participação de todos os atores. É essencial que haja uma confiança sustentável entre o órgão governamental de coordenação, outras partes do governo e atores não-governamentais. A confiança sustentável tem como objetivo: estabelecer um diálogo construtivo público-público e público-privado com um grande número de partes interessadas; garantir que as medidas em termos de políticas, sejam apropriadamente balanceadas e não criem obstáculos desnecessários ao uso de tecnologias digitais, com vistas à inovação e ao crescimento; criar as condições para o compartilhamento de informações relativas a riscos com as empresas; facilitar a promoção e disseminação de boas práticas na sociedade como um todo por meio da ação da sociedade civil; e garantir a proteção da privacidade e outros direitos humanos. O objetivo da organização e da simplificação da governança da segurança digital no Brasil, deve ser permitir que a segurança digital se desenvolva, ao mesmo tempo em que envolve todas as partes interessadas de uma maneira sustentável.

Recomendações de políticas: Uma opção poderia ser a de aproveitar e desenvolver as lições aprendidas com o Modelo Brasileiro de Governança da Internet (CGI), para criar um ambiente com múltiplos atores a fim de facilitar os debates e a coordenação. Além disso, o governo deveria incentivar o estabelecimento de uma estrutura de governança da segurança digital para o setor privado. O governo também deveria facilitar a criação de grupos a fim de reunir diretores de segurança da informação, e outros profissionais de segurança do Brasil inteiro, sem necessariamente tomar parte nas discussões realizadas entre eles. Esses grupos então se tornariam parceiros de discussão do governo, facilitando, dessa maneira, a troca de informações a respeito de ameaças, vulnerabilidades, incidentes e medidas de gestão de riscos, relativas à segurança digital nos setores público e privado.

Autoridade Nacional de Proteção de Dados

A Medida Provisória 86927 de 27 de dezembro de 2018 estabeleceu regras para a coordenação no âmbito do governo, determinando a criação de um fórum de comunicação permanente de cooperação técnica entre órgãos governamentais responsáveis pela regulação setorial. De acordo com a Medida Provisória, a Autoridade Nacional de Proteção de Dados (ANPD) é considerada o órgão governamental central da administração pública responsável pela interpretação da LGPD e pela aplicação das sanções previstas na lei.

A Medida Provisória 869 foi votada pelo Senado e pela Câmara dos Deputados, e convertida na Lei 13.853 de 8 de julho de 2019. Ela cria a ANPD, que é a encarregada da supervisão da LGPD. A ANPD é uma entidade da administração pública federal criada como parte da Presidência da República, com “autonomia técnica e decisória” garantida pela lei (Artigo 55-B). Ela é composta por seis entidades principais:

1. a) Conselho Diretor

2. b) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP)

3. c) Corregedoria

4. d) Ouvidoria

5. e) um órgão de apoio jurídico

6. f) unidades administrativas especializadas.

O Conselho Diretor será composto por cinco diretores, indicados pelo Presidente após aprovação do Senado. Até que a LGPD entre em vigor, o suporte técnico e administrativo será prestado pela Secretaria Executiva da Casa Civil da Presidência da República.

O CNPDP será composto por representantes de 23 organizações e órgãos dos setores público, privado e acadêmico. As principais atividades do órgão incluem propor orientações estratégicas e fornecer informações para a preparação da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para as atividades da ANPD, além de preparar relatórios anuais de avaliação da implementação das ações das políticas nacionais para a proteção da privacidade e dos dados pessoais no Brasil.

O artigo 55-J concede um amplo leque de responsabilidades à ANPD que varia desde a administração de reclamações, o cumprimento da lei e a aplicação de sanções, até a produção de materiais e diretrizes educacionais. As principais competências e poderes regulatórios da ANPD no âmbito da LGPD estão listadas no Quadro 4.5.

Vale a pena destacar que o poder executivo vetou certas seções da LGPD. Especificamente, a Lei 13.853 de 8 de julho de 2019, que cria a ANPD, contém um total de nove vetos, em sua maioria relacionados às sanções administrativas que tratam do processamento de informações pessoais a serem impostas pela ANPD.

Além das competências acima, os Artigos 55-J, VI e 58-B, e V da LGPD (na redação da Lei 1.853 de 8 de julho de 2019), atribuem à ANPD e ao CNPDP, a responsabilidade pela disseminação de conhecimentos sobre políticas, e normas em torno da proteção de dados pessoais e da privacidade na sociedade.

Outras entidades têm tradicionalmente contribuído para a educação e a conscientização sobre privacidade e proteção de dados. Especialmente o Sistema Nacional de Defesa do Consumidor (SNDC), que reúne entidades como os programas de proteção e defesa do consumidor (Procons), o Ministério Público, a Defensoria Pública, as delegacias de polícia especializadas (Decons) e organizações civis de proteção dos direitos do consumidor, incluindo o direito à privacidade e à proteção de dados.

O Instituto Brasileiro de Defesa do Consumidor, (IDEC)28 também realizou atividades de educação para os consumidores sobre direitos de privacidade e a proteção de seus dados pessoais. O website do IDEC contém uma seção com notícias referentes ao escopo da LGPD para os consumidores nacionais e elaborou um anti-mapa de privacidade,29 que busca ajudar os consumidores a protegerem suas informações pessoais e a não serem rastreados na Internet, nos termos da LGPD.

Outro aspecto relevante da ANPD que deveria ser considerado, nos termos do Artigo 55-B da Lei 13.853, é a sua “autonomia técnica e decisória” em relação a outras entidades do executivo, em especial do Conselho Diretor, que será composto por cinco membros, incluindo um presidente (cada um com mandato inicial de quatro anos), em regime de rodízio escalonado.

Deve-se observar que estruturas administrativas e legais que deixam aberta uma possibilidade, ainda que pequena, de uma autoridade responsável pela aplicação das leis de privacidade, ser instruída por outro órgão administrativo quanto ao modo de exercer suas funções, não satisfazem o critério de independência. A independência pode não ser plenamente alcançada, nos termos do Artigo 55-A da Lei 13.853, se a ANPD: for um órgão de administração pública federal; for integrante da Presidência da República; tiver natureza jurídica transitória; “for transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República”; não tiver verba garantida na lei orçamentária anual.

O questionário de 2019 da OCDE para autoridades responsáveis pela aplicação das leis de privacidade (Privacy Enforcement Authorities, PEAs), coletou informações sobre as fontes de receitas das autoridades participantes e sua composição. Vinte das 28 PEAs dos países participantes (exceto a dos Estados Unidos), eram inteiramente subsidiadas pelo governo. Os demais países que informaram dispor de fundos mistos, explicaram que as outras fontes são serviços cobrados, taxas de licenciamento ou registros, multas e penalidades. As PEAs necessitam de investimento financeiro considerável por parte dos governos. Em 2019, por exemplo, a PEA australiana foi subsidiada pelo governo com AUD 15.85 milhões. A PEA canadense recebeu CAD 29.47 milhões e a PEA irlandesa, EUR 15.2 milhões. O Comissariado da Informação do Reino Unido (ICO, em inglês) é financiado basicamente por organizações que pagam as taxas relativas à proteção de dados, o que corresponde a cerca de 85-90% do orçamento anual do ICO. De 1º de abril de 2019 a 31 de março de 2020, o ICO prevê a arrecadação de cerca de GBP 46.6 bilhões, decorrentes de taxas de proteção de dados. Em 2018/19, o ICO arrecadou GBP 39.3 bilhões em receitas provenientes do pagamento de taxas (ICO, 2020).

As alterações feitas na LGPD, a fim de criar a ANPD, diferem do restante do estatuto. Elas eram legalmente exequíveis desde a promulgação da Lei 13.853 de 8 de julho de 2019, significando que a LGPD já é válida no que diz respeito à constituição e ao funcionamento da ANPD, independentemente do período de vacatio legis de suas partes substanciais.

No entanto, para que a ANPD possa realmente existir, o governo federal deve agir para criá-la fisicamente, por meio de um decreto e regulamentos adicionais, nomeando seus diretores e estabelecendo sua composição e seu funcionamento. Em março de 2020, isso ainda não tinha acontecido. A situação de emergência deflagrada pela Covid-19 só aumenta a incerteza quanto a essa situação, uma vez que propostas para prorrogar a entrada em vigor da LGPD estão sendo consideradas pelo Congresso.

Notificação de violação de dados pessoais

A notificação de violações de dados pessoais é um direito novo no Brasil, e foi amplamente importado dos Artigos 33 e 34 do RGPD, embora apresente algumas diferenças importantes.

O Artigo 48 da LGPD estabelece que o controlador deverá informar tanto à autoridade nacional como ao titular, a ocorrência de incidentes de segurança que possam acarretar risco ou dano importante aos titulares. A comunicação será feita em prazo razoável e mediante a observância dos seguintes requisitos:

1. a) Descrição da natureza dos dados pessoais afetados.

2. b) Informação sobre os titulares envolvidos.

3. c) Indicação das medidas técnicas e de segurança utilizadas na proteção dos dados, observados os segredos comercial e industrial.

4. d) Riscos relacionados ao incidente.

5. e) Motivos da demora, no caso de a comunicação não ter sido imediata.

6. f) Medidas que foram ou serão adotadas, para reverter ou mitigar os efeitos do prejuízo. Após a comunicação, a autoridade nacional avaliará a gravidade do incidente e adotará as medidas cabíveis.

Nos casos em que o RGPD estabelece que a notificação de acidentes de segurança deve ser encaminhada à autoridade de supervisão e aos titulares dos dados envolvidos sem demora indevida, e mais especificamente no prazo de 72 horas quando a violação dos dados representar um risco aos direitos e liberdades de indivíduos, a LGPD estabelece somente que a comunicação deve ocorrer em “prazo razoável”, uma diferença importante que talvez merecesse esclarecimentos adicionais na regulamentação da lei no futuro.

Embora a ANPD comece a funcionar oficialmente em agosto de 2020, atualmente, há uma Unidade Especial de Proteção de Dados e Inteligência Artificial no âmbito do Estado, que já está monitorando os direitos dos titulares de dados, e conduzindo investigações de incidentes envolvendo violações de dados pessoais e informações. A unidade integra o Ministério Público do Distrito Federal e Territórios, e tratou diversos casos relacionados à proteção de dados pessoais, além de criar um mecanismo para relatar violações de dados e incidentes de segurança.

Da mesma maneira, o Brasil também conta com o CERT.br e o CTIR.gov para tratar incidentes de segurança cibernética. O CERT.br é responsável pela coordenação das entidades brasileiras de resposta a incidentes de segurança. O CERT.br integra o NIC.br e atua em uma base com várias partes interessadas (cooperação pública/privada). O CTIR.br é um órgão governamental, e integra o GSI/PR. O CERT.br compila e mantém estatísticas anuais sobre relatos de incidentes.

Fluxos internacionais de dados

A transferência internacional de dados aumentou, e se tornou uma questão muito relevante para os legisladores, especialmente em virtude do uso de serviços de computação em nuvem e a expansão e o crescimento do big data em anos recentes. A LGPD dedica todo um capítulo à transferência internacional de dados (Artigos 33-36), o que reflete, em grande medida, a linguagem dos termos do Capítulo V sobre a transferência de dados pessoais a outros países ou a organizações internacionais do RGPD. A transferência internacional de dados pessoais no Brasil, só é permitida em certas condições, descritas em nove seções do Artigo 33 e listadas no Quadro 4.6.

Além disso, o Artigo 34 da LGPD estabelece que o nível de proteção de dados do país estrangeiro ou do organismo internacional deve ser avaliado pela autoridade nacional, levando em consideração seis circunstâncias especiais. O Artigo 35 estabelece que a verificação de todos os instrumentos jurídicos listados no Artigo 33 Seção II, será realizada pela autoridade nacional, e o Artigo 36 determina, que alterações nas garantias apresentadas ao cumprimento dos princípios gerais da proteção dos direitos do titular dos dados, deverão ser comunicadas à autoridade nacional.

A Comissão Europeia ainda não declarou que o Brasil é um país que proporciona um nível adequado de proteção aos dados pessoais nos termos do RGPD.

Da mesma forma, o Brasil, como observador, ainda não assinou nem ratificou a Convenção do Conselho da Europa para a Proteção das Pessoas Singulares, no que diz respeito ao Tratamento Automatizado de Dados Pessoais (Convenção 108), e seu Protocolo Adicional referente a autoridades supervisoras e fluxos de dados transfronteiriços, nem a versão modernizada da Convenção 108+ do Conselho da Europa.

Crescimento do e-commerce doméstico e transfronteiriço

Segundo dados da Sociedade Brasileira de Varejo e Consumo, as vendas do e-commerce business to consumer (B2C) são relativamente baixas no Brasil, respondendo por 3%35 do total de vendas no varejo (export.gov, 2019; Conselho Administrativo de Defesa Econômica do Brasil, 2018). Ainda assim, as vendas do e-commerce no Brasil cresceram à uma taxa anual de 16% em 2019, superando em muito o crescimento da economia como um todo (Ebit Nielsen, 2020).

No entanto, o mercado de e-commerce no Brasil aparenta oferecer oportunidades extraordinárias para varejistas on-line locais, regionais e globais. Segundo a Euromonitor International, o Brasil gera cerca de 42% de todo o e-commerce B2C na América Latina. Estima-se que, em 2017, 52.8 milhões de pessoas tenham feito compras on-line no país, representando um aumento de 11% na comparação com 2016 (Société Générale, 2019). Um estudo recente conduzido pela PwC, mostrou que 53% dos brasileiros usam seus smartphones para pesquisar produtos, e 32% pagam suas compras on-line (export.gov, 2019). O crescente interesse dos consumidores em adquirar e adotar dispositivos móveis para pesquisar e comparar produtos on-line, incluindo redes sociais, deve aumentar ainda mais as transações de e-commerce.

No que se refere ao e-commerce transfronteiriço, os dados disponíveis mostram que 23% dos consumidores brasileiros compram em websites dos Estados Unidos, em comparação com 9% dos consumidores europeus. A metade da população brasileira (cerca de 100 milhões de pessoas), já comprou através de websites internacionais ao menos uma vez. Entre os que são muito populares, há websites chineses e outros, incluindo AliExpress (45% dos consumidores), Amazon.com (40%), eBay (26%), DealExtreme (12%) e Apple Store (10%) (Société Générale, 2019).

Reclamações dos consumidores

O site Consumidor.gov.br36 e o Sistema Nacional de Informações de Defesa do Consumidor (SINDEC)37 são duas bases de dados importantes mantidas pela Senacon,38 que contêm dados de reclamações de consumidores acerca de transações de e-commerce. Conforme será explicado mais adiante neste relatório, enquanto o Consumidor.gov.br serve como sistema de resolução de conflitos, o SINDEC39 fornece informações a todos as partes interessadas, sobre as empresas que mais foram alvo de reclamações de consumidores.

Como mostrado nas Figuras 4.6 e 4.7, desde 2017, as duas plataformas têm recebido relatos dos consumidores sobre um número crescente de problemas relacionados ao e-commerce. O número mais alto de reclamações dos consumidores, se refere a produtos que não foram entregues ou foram entregues com atraso. Alguns consumidores também tiveram diversas dificuldades durante o processamento de transações, problemas tais como confirmação de pagamentos, cancelamento de transações, além de dificuldades para se comunicar com determinadas empresas.

Figura 4.6. Reclamações relacionadas ao e-commerce relatadas ao Consumidor.gov.br, 2017-19

Fonte: Consumidor.gov.br (2020), Indicadores (banco de dados), https://consumidor.gov.br/pages/dadosabertos/externo/ (acessado em março de 2020).

Figura 4.7. Principais reclamações relacionadas ao e-commerce relatadas ao SINDEC, 2017-19

Fonte: OCDE, com base nas informações fornecidas pelo Sistema Nacional de Informações de Defesa do Consumidor (SINDEC).

Conforme mostrado nas Figuras 4.8 e 4.9, a compra de telefones celulares foi responsável pelo maior número de reclamações de consumidores de 2017 a 2019 nas duas plataformas. Os consumidores também encontraram problemas em uma vasta gama de produtos, incluindo móveis, dispositivos eletrônicos, roupas e serviços de Internet e de viagem. A Figura 4.10 mostra que alguns consumidores tiveram problemas com varejistas e marketplaces.

Figura 4.8. Reclamações relacionadas ao e-commerce relatadas ao Consumidor.gov.br, por categoria do produto, 2017-19

Fonte: Consumidor.gov.br (2020), Indicadores (banco de dados), https://consumidor.gov.br/pages/dadosabertos/externo/ (acessado em março de 2020).

Figura 4.9. Reclamações relacionadas ao e-commerce relatadas ao SINDEC, por categoria do produto, 2017-19

Nota: TI = tecnologia da informação.

Fonte: OCDE, com base nas informações fornecidas pelo Sistema Nacional de Informações de Defesa do Consumidor (SINDEC).

Figura 4.10. Reclamações relatadas ao SINDEC, por grupo econômico, 2017-19

Fonte: OCDE, com base nas informações fornecidas pelo Sistema Nacional de Informações de Defesa do Consumidor (SINDEC).

No que se refere a transações transfronteiriças, os consumidores também relataram questões associadas a prazos de entrega muito longos (44% dos consumidores que compraram no exterior) e falta de segurança (31%) (PagBrasil, 2018). No entanto, deve-se observar que nem o Consumidor.gov.br nem o SINDEC, dispõem de uma categoria de questões específicas envolvendo transações transfronteiriças e, por esse motivo, as informações disponíveis nas bases de dados envolvendo reclamações de consumidores, não ajudam a entender o percentual de consumidores brasileiros que enfrentam problemas nas transações transfronteiriças.

Marco de políticas no e-commerce

Nas últimas duas décadas, muito foi feito no Brasil para fortalecer a confiança do consumidor no e-commerce. Embora a maioria dos direitos gerais de proteção ao consumidor esteja consagrada no Código de Defesa do Consumidor (CDC), adotado em setembro de 1990, nos últimos anos, vários desenvolvimentos legislativos foram implementados, a fim de fortalecer o engajamento dos consumidores digitais e sua proteção.

O Artigo 6 do CDC prevê que os consumidores recebam informações adequadas e claras das empresas, tanto sobre os produtos e serviços oferecidos, como sobre as transações. Eles devem se beneficiar de proteções sólidas contra práticas enganosas e fraudulentas, inclusive na área de publicidade on-line. Os consumidores devem ter acesso a mecanismos efetivos de resolução de conflitos, incluindo os de cunho judicial e administrativo, e devem receber a reparação adequada em caso de prejuízos de ordem financeira ou não financeira.

O CDC foi complementado pelo Decreto 7.762 de 15 de março de 2013, cobrindo especificamente o e-commerce. O decreto identifica as principais informações que devem ser fornecidas aos consumidores que usam o e-commerce, e reforça o direito de arrependimento de sete dias.

A proteção aos consumidores on-line foi adicionalmente reforçada por meio da adoção, em 2014, do Marco Civil da Internet,40 que prevê os princípios, garantias, direitos e deveres dos usuários da Internet no Brasil, além de estabelecer as diretrizes de atuação da união, dos estados, do Distrito Federal e dos municípios brasileiros. Mais especificamente, a lei regula o uso da Internet nas seguintes áreas: liberdade de expressão; privacidade e proteção de dados pessoais; neutralidade da rede; preservação da estabilidade, segurança e funcionalidade da Internet; responsabilidade dos agentes; preservação da natureza participativa da Internet. O artigo 7° estabelece que o acesso à Internet é essencial ao exercício da cidadania, e a subseção XIII estipula que os cidadãos têm o direito à aplicação correta das normas de proteção e defesa do consumidor, nas relações de consumo realizadas pela Internet.

Com a entrada em vigor da Lei 13.543/2017 em 20 de dezembro de 2017, as normas relativas à publicidade de produtos on-line e serviços vendidos por e-commerce, também foram reforçadas. A nova lei, que altera a Lei 10.962/2004, que regula a afixação de preços para produtos e serviços de consumo, introduz novas exigências para as empresas, que devem fornecer informações claras e evidentes sobre os preços do produto e exibir a imagem do produto ou a descrição do serviço.

Na área de segurança de produtos de consumo, que é o tema do Capítulo IV do CDC, o Brasil publicou duas novas Portarias em 2019 sobre o recall de produtos (Portaria 618/2019 sobre regras gerais, e Portaria Conjunta 3/2019 sobre o recall de veículos). Essa legislação atualizada regula o procedimento de recall para todos os produtos no Brasil, independentemente do meio ou canal usado pelos consumidores para adquirir o produto que possa vir a ser objeto de recall. Sob este marco regulatório, o fornecedor que descobre a natureza insegura de um produto introduzido no mercado deve, imediatamente, informar as autoridades e alertar os consumidores a respeito.

Supervisão institucional

A Recomendação sobre E-commerce destaca a necessidade de as autoridades terem:

• o poder de investigar e tomar medidas para proteger os consumidores contra práticas comerciais fraudulentas, enganosas ou desleais e os recursos e especialização técnica para exercer seus poderes de maneira efetiva

• a habilidade de cooperar e coordenar suas atividades de investigação e aplicação da lei com suas contrapartes nas jurisdições estrangeiras.

Autoridades com poder de ação no mercado doméstico

A principal autoridade de defesa do consumidor no Brasil é a Senacon, vinculada ao Ministério da Justiça e da Segurança Pública. Criada em 2012, a Senacon sucedeu ao DPDC, que tinha sido estabelecido pelo CDC em 1990.

Os principais poderes e atribuições da Senacon estão dispostos no Artigo 106 do CDC e no Artigo 3 do Decreto 2.181 de 20 de março de 1997,41 que regula o SNDC. A Senacon supervisiona o desenvolvimento, a implementação e a aplicação das leis de defesa do consumidor, inclusive por meio da coordenação com o SNDC. A Senacon também mantém o site Consumidor.gov.br, serviço público livre e fora dos tribunais, que pode ser usado pelos consumidores e pelas empresas, para resolver conflitos resultantes de transações on-line. Além disso, a Senacon tem o poder de estabelecer cooperações internacionais com autoridades de outros países. Ela o faz sobretudo, por intermédio do Grupo Informal de Peritos em Defesa do Consumidor da Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD), do Mercado Comum do Sul (Mercosul), do Foro Ibero-americano das Agências Governamentais de Proteção ao Consumidor (FIAGC) e da Organização dos Estados Americanos (OEA).

O SNDC abrange algumas entidades públicas federais, estaduais e locais como os órgãos de defesa do consumidor (Procons), o Ministério Público, a Defensoria Pública, as delegacias de polícia especializadas (Decons), além de entidades privadas e organizações civis, que promovem programas e assistência na proteção dos direitos dos consumidores. Os Procons são responsáveis pela coordenação de suas próprias políticas, locais ou estaduais, de defesa do consumidor. Além disso, os Procons dão suporte aos consumidores e investigam os problemas enfrentados por eles, funções que a Senacon não exerce. O principal objetivo da Senacon é coordenar o funcionamento do SNDC para promover políticas nacionais harmonizadas, no que diz respeito a relações de consumo.

As entidades ligadas ao SNDC contribuem para a tarefa geral da Senacon, de criar e promover políticas relativas à proteção dos consumidores, inclusive no contexto do comércio eletrônico. Alguns dos programas promovidos pela Senacon são: a Escola Nacional de Defesa do Consumidor, o programa Política Nacional do Consumidor, o Sistema Nacional de Informações para a Defesa do Consumidor (SINDEC) e o Plano Nacional de Consumo e Cidadania (Plandec).

Em anos recentes, a Senacon explorou maneiras de melhorar a eficácia do modelo institucional brasileiro. A secretaria sinalizou, em especial, que necessitaria de mais recursos humanos e financeiros, para participar em cooperações internacionais.

A Senacon atualmente possui um quadro de 90 funcionários, 30 dos quais são especialistas técnicos, e dispõe de um orçamento anual direto de USD 950 000. Em 2018, a OCDE realizou um estudo sobre cooperação transfronteiriça quanto à aplicação das leis, que contou com a participação de 31 países. De acordo com esse estudo, os órgãos de consumo empregam em média (apesar de haver grandes variações entre os países), 369 pessoas e dispõem de um orçamento de USD 33 milhões (OCDE, 2018).

A necessidade de recursos para ajudar na implementação da estrutura de defesa do consumidor no Brasil pode aumentar, na medida em que o país introduz novas medidas de proteção aos dados dos consumidores. Em 14 de agosto de 2018, o Brasil aprovou uma nova Lei Geral de Proteção de Dados (Lei 13.709) e está atuando no sentido de estabelecer uma Autoridade Nacional de Proteção de Dados (ANPD). A Senacon deverá atuar em cooperação com a ANPD em questões relacionadas aos dados dos consumidores. Além disso, em seguida à adoção do Decreto 10.197 em 2020, o site Consumidor.gov.br se tornou a plataforma governamental oficial para resoluções de disputas relativas ao consumo. Em virtude dessa mudança, questões relacionadas à proteção de dados de consumidores pertencem agora ao escopo da plataforma, e reclamações de consumidores relativas à proteção de seus dados são da alçada do site Consumidor.gov.br.

Cooperação transfronteiriça

A Recomendação sobre E-commerce enfatiza fortemente a necessidade de melhora e a importância de facilitar a cooperação internacional, no combate a práticas comerciais transfronteiriças fraudulentas e enganosas. A questão está se tornando particularmente importante na medida em que os dados globais de reclamações de consumidores mostram que o crescente volume de transações transfronteiriças on-line, vem sendo associado a um aumento de fraudes transfronteiriças, tanto de produtos não seguros que foram banidos, como de produtos que são objeto de recall no mercado off-line.

Em um contexto dessa natureza, no qual novos modelos de negócios e tecnologias facilitaram o uso de fronteiras virtuais para burlar os regulamentos, mediante o estabelecimento do negócio em um país e tendo como alvo os consumidores de outro, faz-se necessário adotar uma cooperação transfronteiriça mais intensa e rotineira. Em 2018, mais de 29 000 reclamações internacionais foram relatadas ao Econsumer.gov,42 um website dedicado a reunir reclamações transfronteiriças, mantido pela Rede Internacional de Controle e Proteção dos Consumidores (ICPEN), uma rede informal, que abrange autoridades de consumo de mais de 60 países (incluindo 14 economias do G20).

Até o momento, não existe uma estrutura específica na cooperação transfronteiriça para a defesa dos consumidores no Brasil. Além da insuficiência de recursos para o engajamento na cooperação transfronteiriça, a falta de uma estrutura para tal, tem sido identificada como obstáculo à cooperação internacional. Assim sendo, a Senacon deveria ser equipada com as competências e as ferramentas necessárias, para poder melhorar a cooperação transfronteiriça.

A Senacon firmou um Protocolo de Intenções sobre defesa do consumidor com sete países, incluindo Argentina, Alemanha, Coreia, Paraguai, Peru, Portugal e Uruguai. Recentemente, a entidade intensificou sua participação na cooperação transfronteiriça, no âmbito da Rede Consumo Seguro e Saúde (RCSS) da OEA, a fim de tratar assuntos relacionados ao recall de produtos. A Senacon é uma das fundadoras da RCSS, que abrange recall de produtos, alimentos e medicamentos. A Senacon também cooperou com suas contrapartes no âmbito do Mercosul, em áreas como gerenciamento de reclamações de consumidores.

Até 2018, a Senacon não dispunha dos recursos necessários para se integrar à cooperação transfronteiriça com órgãos estrangeiros de defesa do consumidor, nem para melhorar a sua colaboração com a OCDE e outros foros, como a UNCTAD. A Senacon está atualmente em processo de obtenção de mais recursos (incluindo orçamento e equipe de especialistas), para promover e se integrar à cooperação internacional, ajudando a melhorar a capacidade do SNDC de colaborar com a cooperação internacional levada a efeito pela Senacon. A secretaria iniciou o processo de filiação à Rede Internacional de Controle e Proteção dos Consumidores e pretende também participar da plataforma Econsumer.gov assim que a versão em português estiver disponível.

O papel das associações industriais

Há um sem-número de associações e câmaras privadas empenhadas no desenvolvimento de orientações e políticas em torno da tecnologia da informação, incluindo políticas referentes a questões digitais e estudos sobre e-commerce e Internet. Essas entidades não estão vinculadas às associações do SNDC.

As organizações do setor privado com foco no e-commerce mais ativas no Brasil são:

A Câmara Brasileira do Comércio Eletrônico (Camara-e.net)43 é a entidade brasileira mais representativa na economia digital, cuja principal função tem sido a de promover a segurança nas transações eletrônicas, formular políticas públicas, e melhorar as estruturas regulatórias setoriais, a fim de oferecer suporte legal às medidas de incentivo que são necessárias ao desenvolvimento do país. A entidade também tem como objetivo incentivar a inovação, a geração de conhecimento e o desenvolvimento sustentável da economia digital. A Camara-e.net conta com oito comitês especiais, aos quais as empresas podem se juntar e apoiar o seu trabalho: 1) Antifraude e Gestão de Riscos; 2) Identidades Digitais Confiáveis; 3) Insurtechs; 4) Jurídico; 5) Meios de Pagamento na Internet; 6) Micro, Pequena e Média Empresa; 7) Traveltech; e 8) Varejo Online. A Camara-e.net também promove marcas de confiança como a Clique e-Valide44 e apoia campanhas nacionais para ajudar os consumidores a navegar e comprar on-line com mais segurança, como a Internet Segura45 e a DETONAWEB.46

A Associação Brasileira de Comércio Eletrônico (ABComm)47 é uma organização sem fins lucrativos, composta por um sem-número de empresas brasileiras de varejo, do setor de tecnologia da informação. A associação promove os interesses de empresas tecnológicas junto às instituições governamentais. O website da ABComm contém informações úteis sobre e-commerce, incluindo estudos e pesquisas.

A Senacon supervisiona a implementação de diversas iniciativas de corregulamentação. Por exemplo, em 2019, a indústria de telemarketing lançou uma iniciativa denominada “Não me perturbe”, para garantir que as empresas não façam ligações de telemarketing não solicitadas pelos consumidores. De maneira similar, em 2020, a Federação Brasileira de Bancos pretende lançar a plataforma denominada “Não me perturbe” dos bancos, contra ofertas de crédito indesejadas.

O papel das associações de consumidores

As associações de consumidores exercem um papel importante no desenvolvimento, e na implementação da política nacional das relações de consumo no Brasil. Algumas associações de consumidores, incluindo o Idec e a Proteste, são membros do SNDC e participam do desenvolvimento e da disseminação de políticas em benefício dos consumidores.

Além disso, muitas associações dessa natureza no Brasil ajudam a aumentar a conscientização dos consumidores por meio de seus websites, publicações e outras atividades promocionais. Por exemplo, algumas associações de consumidores participaram em campanhas anuais de conscienticação, em relação às vendas realizadas durante a Black Friday.

Mecanismos de resolução de conflitos e reparação dos consumidores

Educação e conscientização

Um instrumento importante que o Brasil desenvolveu nessa área foi o “Guia do Consumidor Estrangeiro”,50 criado pelo Procon do estado do Paraná sob a supervisão do Instituto Nacional de Metrologia, Qualidade e Tecnologia (INMETRO).51 O principal propósito do guia, era o de orientar o consumidor estrangeiro no Brasil quanto aos seus direitos e responsabilidades, em suas relações com empresas e entidades em diferentes áreas da economia. O guia foi elaborado com base nos direitos e responsabilidades das empresas e dos consumidores no CDC. Ele contém informações como, por exemplo, onde reclamar e como obter reparações, e apresenta uma lista de organizações e associações de defesa do consumidor, que podem ser de ajuda no processo de dirimir disputas. Mas o guia não foi atualizado.

A Escola Nacional de Defesa do Consumidor (ENDC)52 foi criada em 13 de agosto de 2007 pela Portaria 1.377. A entidade se ocupa ativamente de promover o conhecimento e a educação na defesa do consumidor, mediante a oferta de treinamentos especialmente concebidos para membros do SNDC no país inteiro, além de desenvolver conhecimentos específicos sobre as relações de consumo, que são essenciais à elaboração de políticas públicas. A ENDC dispõe de um grande número de manuais e guias digitais, que giram em torno da defesa dos direitos do consumidor. Por exemplo, ela elaborou um guia sobre a proteção de dados nas relações de consumo e sobre informações de crédito. A ENDC estabeleceu uma parceria com a Universidade de Brasília para implementar um sistema oficial de certificação. Ela ampliou seus programas de educação pública por meio do envolvimento de outros órgãos públicos nacionais, como a Agência Nacional de Vigilância Sanitária; a Agência Nacional de Aviação Civil; o Banco Central do Brasil; a Agência Nacional de Telecomunicações; o Ministério da Agricultura, Pecuária e Abastecimento; e a Agência Nacional de Saúde Suplementar, dentre outros.

Novas iniciativas foram implementadas em anos recentes, com o propósito de educar e aumentar a conscientização dos consumidores quanto a seus direitos no e-commerce e aumentar a competência digital deles. Por exemplo, a Senacon produziu um vídeo educativo sobre questões de consumo relacionadas à economia digital.53 Além disso, foram desenvolvidos programas educacionais, tendo como alvo consumidores vulneráveis ou em desvantagem e que giram em torno do impacto das redes sociais sobre as tendências de consumo dos jovens.54