Os PPPs e o novo Regulamento de Segurança Cibernética da Anatel

Introdução

No início de julho, a Anatel atualizou o Regulamento de Segurança Cibernética Aplicado ao Setor de Telecomunicações, com a Resolução 740/2020. As mudanças ampliam o número de empresas de telecomunicações sujeitas a novas determinações, incluindo provedores de pequeno porte (PPPs), que antes estavam isentos de algumas obrigações. Este artigo explora as principais alterações e os impactos para os provedores de Internet (ISPs).

Obrigações de Segurança para Todos os Prestadores

Uma das principais mudanças no regulamento é que todos os prestadores de Serviços de Telecomunicações de Interesse Coletivo, independentemente do porte, devem cumprir o artigo 8º. Este artigo determina que as empresas de telecomunicações alterem as senhas padrão dos roteadores e outros equipamentos fornecidos aos consumidores, a fim de aumentar a segurança.

Notificação de Incidentes de Segurança

Outra mudança relevante é a obrigatoriedade de notificar tanto a Anatel quanto a Autoridade Nacional de Proteção de Dados (ANPD) sobre incidentes de segurança cibernética que envolvam dados pessoais. Esses ataques, que podem resultar no sequestro de dados ou acesso indevido, devem ser reportados às duas autarquias, conforme o artigo 48 da Lei Geral de Proteção de Dados (LGPD).

Sanções por Descumprimento

As empresas que não cumprirem essas obrigações estão sujeitas a sanções, que podem incluir advertências, multas e até a suspensão temporária das atividades. Para provedores de pequeno porte, as multas podem chegar a R$ 1,6 milhão, enquanto para micros provedores, as penalidades podem atingir R$ 110 mil. O não cumprimento das normas de segurança expõe as empresas a sanções tanto pela Anatel quanto pela ANPD.

Interpretações sobre Regras de Rede Própria

Há dúvidas sobre a aplicação de outras partes do regulamento. Em 2022, a TelComp expressou preocupações sobre a falta de clareza nas definições de “rede própria” e “tráfego em mercado de atacado”, que podem gerar interpretações variadas. A Anatel criou o artigo 2º-B, que sujeita operadoras de rede e prestadoras de Serviço Móvel Pessoal com rede própria ao controle ex ante, uma forma de fiscalização preventiva.

Ataques Cibernéticos e Suas Consequências para os ISPs

Os provedores regionais têm sofrido ataques frequentes, como o ataque de DDoS que atingiu centenas de provedores em outubro de 2023. Esses ataques cibernéticos podem resultar em extorsão, com hackers exigindo resgate em criptomoedas. A Abrint tem recebido relatos constantes sobre esses incidentes e firmou parceria para fornecer soluções de segurança cibernética subsidiadas aos seus associados.

Regras para Provedores que Tratam Dados Pessoais

Independentemente das exigências da Anatel, todos os provedores de Internet que tratam dados pessoais no Brasil devem seguir as diretrizes da ANPD. Isso inclui a adoção de medidas de segurança para mitigar riscos e a comunicação imediata de incidentes de segurança que possam comprometer informações sensíveis de seus clientes.

Conclusão

As novas regras de segurança cibernética da Anatel exigem que os provedores de Internet adotem medidas mais rigorosas para proteger seus sistemas e dados. O cumprimento dessas normas é essencial para evitar penalidades, tanto da Anatel quanto da ANPD, e para garantir a proteção dos dados dos usuários.

Bárbara Castro Alves é gerente de assuntos regulatórios da VianaTel, consultoria especializada na regularização de provedores de Internet (ISPs).