Ponto ISP

Backdoor, tema de estado, não de governo

Walter Ceneviva*

PUBLICIDADE

Os aparelhos móveis, que revolucionaram nossas vidas pessoais, ainda terão enormes impactos sobre as sociedades contemporâneas, decorrentes da implantação das redes de máquinas (M2M) suportadas por redes celulares móveis. Em âmbito acadêmico já se fala há muito tempo em antropologia digital[1].

Por isso mesmo, as redes móveis são, ao mesmo tempo, meio de guerra e alvos de guerra (a página de Cyber defesa da OTAN[2] é rica em informações sobre o tema).

O Brasil é o quinto maior país, em número de usuários de telefones móveis[3] Por isso mesmo é um alvo de ataques e deve proteger-se.

A proteção é prevista na Constituição[4] e na Lei Geral de Telecomunicações (LGT). Para ser eficaz, deve ser regulamentada na forma da Lei, justo porque a força das nações democráticas é a observância do ritual institucional e do Estado de Direito. Isso significa que a Anatel é quem deverá estabelecer regras, por força do inciso XI do art. 21 da Constituição (C.F.), com a independência e os limites contidos na LGT.

Nesse contexto, a edição da Instrução Normativa Nº 04/2020 (a IN), do Ministro do Gabinete de Segurança Institucional da Presidência da República (o GSI), que “Dispõe sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G”[5], é um passo atrás; bem intencionado, mas errado e precisa ser refeito.

A IN invoca, fundamentos que não dão amparo legal à amplitude e seu pretendido poder de coerção:

  1. O inciso V do art. 10 da Lei nº 13.844/2019 só atribui competências ao Ministro do GSI, em relação à administração pública federal, mas as redes móveis são privadas, não fazem parte da administração pública. Além disso, o poder do Ministro é o de “planejar, coordenar e supervisionar”, não o de regulamentar ou impor regras específicas, como busca fazer a IN;
  2. o art. 12 do Decreto nº 9.637/2018 refere um poder de estabelecer norma ‘…no âmbito da administração pública federal…” (Art. 1º do Decreto), ou seja, não se estende às redes privadas de telecomunicações, que são reguladas pela Agência Nacional de Telecomunicações – Anatel.
  3. Ademais, o § único do Art. 12 mencionado impõe ao Ministro do GSI “…quando se tratar de competência de outro órgão…” “…propor as atualizações referentes à segurança da informação” a este órgão competente, mas a IN 4/2020 é impositiva e não revela eventual ação integrada com a autarquia competente, a Anatel.
  4. O Decreto nº 10.222/2020, que “Aprova a Estratégia Nacional de Segurança Cibernética”, se constitui em ‘orientação’ (cf. primeiro parágrafo da “Estratégia Nacional de Segurança Cibernética”), de modo que não legitima imposição de regras. A “Estratégia” refere pesquisas, esforços comuns, mas não retira (e nem poderia retirar) da Anatel a competência exclusiva para estabelecer regras em matéria de redes de telecomunicações, diferente do que propõe a IN.

Se pudesse ser regra setorial de telecomunicações, deveria ter observado o 9º da Lei Nº 13.848/2019: ser precedida de consulta pública.

As definições do art. 2º da IN geram confusão, pois definem termos regulados pela Anatel de nova e desnecessária maneira, há 21 anos[6], ou mesmo em regras internacionais[7].

Além disso, a existência de um Glossário (a que a própria IN 04/2020 se remete, no § único do Art. 2º) recomenda não fazer definições tópicas, por uma melhor técnica legislativa.

Os Arts. 3º e 4º da IN pretendem estabelecer ‘requisitos’ para implantação de redes de telecomunicações em 5G, de forma que ignora a regulação e os regulamentos já estabelecidos pela Anatel; mais grave do que a evidente descoordenação que a IN estabelece (violando o § único do Art. 12 do Decreto 9637/2018) é o fato de que o Ministro do GSI não possui competência legal para impor requisitos às redes de telecomunicações, pois essa competência é atribuída pela Constituição Federal (Art. 21, XI) e pela LGT à Anatel (Arts. 145 a 156).

Ademais, o Art. 4º menciona princípios, como, por exemplo, o da ‘diversidade’ que não são acolhidos pelas normas que fundamentam a IN 04/2020: nem os Decretos Nº 9.637/2018 e 10.222/2020, nem a Portaria Nº 93/2019 definem o que fosse tal princípio, mais afeito à sociologia.

O Artigo 5º impõe à Anatel (a autarquia federal a quem a Constituição confiou a implantação do 5G) deveres, mas o Ministro não detém poder jurídico para tanto. Mais grave, a IN 04/2020 divide atribuições entre o regulador federal de telecomunicações e uma entidade privada, com dois graves vícios: a) desrespeita a legislação setorial e b) estabelece uma competência dividida cujos conflitos serão graves, pois, ‘cachorro de dois donos morre de fome’, como ensina a sabedoria popular. Não se poderia diminuir a importância da ABNT, mas regras de tamanha importância são regras de estado (Constituição, Art. 247), não podem ser delegadas a entes privados.

Esse defeito da clara ilegalidade e inconstitucionalidade de uma IN ministerial interferir sobre telecomunicações se estende pelo Art. 5º, como demonstramos:

  1. Regras sobre terminais em ‘roaming’ (inciso III) impostas em meras alíneas de instrução normativa ministerial, não serão exigíveis e a sociedade estará desprotegida;
  2. A interoperabilidade e a segurança das redes (não apenas das redes em tecnologia 5G) são atribuições da Anatel (LGT, Art. 19, XIV, Art. 146). Seu regramento é integrado e contempla o funcionamento das redes físicas e móveis, de dados, de voz, razão pela qual uma regra como a da IN pode gerar efeitos opostos aos desejados.
  3. A União não reservou a si o poder de escolher os modos pelos quais as redes de telecomunicações terão seus ‘backups’, ou mesmo se terão; a LGT assegura que as empresas operem em competição, num ambiente em que “a liberdade é a regra” (LGT, Art. 128, I) o que torna a observância da IN meramente facultativa.
  4. A gestão dos pacotes na rede (inciso V) é tratada pelo Marco Civil da Internet, com restrições severas à interferência no livre tráfego de dados. O importante seria distinguir entre ataques ilegais às redes e outras ações adotadas na gestão de redes, mas a IN 04/2020 não tipifica as condutas que pretende evitar.
  5. As prestadoras de serviços de telecomunicações terão de adquirir equipamentos com as funcionalidades previstas no inciso VII? Isso impacta o cálculo dos preços mínimos do importante leilão do 5G. O fato de que tal imposição seja feita por norma sem força cogente torna o tema desnecessariamente confuso (deve ser cumprido ou não?).
  6. A exigência de dois fornecedores distintos (inciso IX), estabelecida fora do campo regulatório das telecomunicações, conflita com as regras propostas pela Anatel, que conduzem à cobertura por infraestruturas compartilhadas e não duplicadas (LGT, Arts. 73, 147 e 154).
  7. A criptografia obrigatória (inciso XII) e os softwares abertos (inciso XIII) também se constituem em ônus (ou mesmo em barreiras) contra a ubiquidade das redes; deveriam ser pensadas no âmbito das políticas de telecomunicações (Decreto 9612/2018)
  8. A criação de uma auditoria de software e de redes, com ‘consumidores, parceiros’ (incisos XVI e XVII) é por demais vaga, gerando dúvidas e eventual desinteresse de investidores sérios pelo leilão do 5G.
  9. A ‘retirada de hardware’ (inciso XX) é inconstitucional e assim foi julgada pelo STF em 1998[8].

Há um aspecto mais político do que jurídico: o inciso II, do Art. 2º refere “concessão, permissão ou autorização por parte do Governo”. Assim se escreviam as normas, nos anos 1960; nos dias de hoje, falar ‘governo’ é juridicamente errado, pois o poder concedente (C.F., Art. 175) é conferido por lei ao Poder Executivo (como estado, não mero governo) ou a outros órgãos, como é o caso da Anatel, que é independente do governo (C.F., Art. 21, XI e EC 8/95). A esta altura da história democrática, é preciso separar o governo do estado brasileiro.

Por fim, considerando que o recém publicado Decreto nº 10.222/2020, que “Aprova a Estratégia Nacional de Segurança Cibernética”, não trata dos ‘backdoor’ uma única vez, parece recomendável sua ampliação, para também combater tais instrumentos lógicos ilegais. Nesse sentido é muito rica a leitura da recente ‘Order’ da FCC – Federal Communication Comission americana, que investirá recursos de seu fundo de universalização,

para remover equipamentos suspeitos de operarem com ‘backdoors’[1], nas redes americanas de telecomunicações.

Seria de grande valia para a segurança da sociedade brasileira que uma nova IN fosse editada, com a necessária velocidade, precedida de consulta pública e mediante articulação com a Anatel, observada a independência e autonomia desta. Feito isso, teremos dado um passo simples, mas de enorme valor, para proteger o país contra ataques cibernéticos.

[1] Mais dados em https://docs.fcc.gov/public/attachments/DOC-360976A1.pdf, acesso em 02/04/2020.

[1] https://journals.openedition.org/jda/5967, acesso em 02/04/2020.

[2] https://www.nato.int/cps/en/natohq/topics_78170.htm, acesso em 02/04/2020.

[3] https://en.wikipedia.org/wiki/List_of_countries_by_number_of_mobile_phones_in_use, acesso em 02/04/2020.

[4] TÍTULO V – DA DEFESA DO ESTADO E DAS INSTITUIÇÕES DEMOCRÁTICAS, CAPÍTULO I – DO ESTADO DE DEFESA E DO ESTADO DE SÍTIO

[5] http://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-4-de-26-de-marco-de-2020-250059468

[6] Vide a Resolução nº 155/1999, que “Aprova o Regulamento sobre Procedimentos de Contratação de Serviços e Aquisição de Equipamentos ou Materiais pelas Prestadoras de Serviços de Telecomunicações”, disponível em https://www.anatel.gov.br/legislacao/resolucoes/1999/375-resolucao-155, acesso em 02/04/2020.

[7] Resolução Mercosul/Gmc/Res N° 19/2001 Disposições Gerais Para Roaming Internacional e Coordenação de Freqüências do Serviço Móvel Celular no Âmbito do Mercosul, disponível em https://www.anatel.gov.br/hotsites/coletanea_normas/TextoIntegral/ANE/res/anatel_20030424_336_anexo.pdf

[8] ADI 1668, disponível em http://stf.jus.br/portal/inteiroTeor/obterInteiroTeor.asp?id=347202, acesso em 02/04/2020.


*Walter Vieira Ceneviva (walter@vca.adv.br) é advogado, especializado em direito da mídia e das telecomunicações.

Sair da versão mobile