Na contribuição à consulta pública do novo regulamento de cibersegurança da Anatel (R-Ciber), encerrada na última segunda-feira, 21, a Associação Neo seguiu o entendimento de provedores regionais, que afirmam precisar de assimetria regulatória também para essas novas regras. Mas antes disso, a entidade, que representa esses players, questiona se a consulta em si teria validade sem um estudo prévio para avaliar os impactos das medidas.
Isso porque a Associação Neo diz, segundo contribuição à qual TELETIME teve acesso, que a Anatel não teria tratado o assunto conforme o "devido processo legal", alegando que deveria ter sido elaborado uma análise de impacto regulatório (AIR) e uma "ampla participação dos agentes econômicos potencialmente afetados". Assim, diz que as falhas procedimentais "acabaram por macular o processo normativo" da Anatel e "justificam o seu reinício".
Para tanto, cita não apenas o regimento interno da própria agência e as leis nº 13.848/2019 (marco legal das agências reguladoras) e 13.874/2019 (liberdade econômica), mas também recomendação da OCDE pela indispensabilidade das AIRs. Nesse processo é que a entidade coloca que deveria ter havido diálogo com stakeholders externos para "reduzir a assimetria de informações".
Ainda de acordo com a Associação, a proposta não consiste em uma decisão de efeitos gerais, ou uma nova orientação político-normativa, mas sim o estabelecimento de obrigações de fazer/obrigações de meio novas. Assim, na visão dela, as propostas da Anatel não são uma instrução normativa e, por isso, deveria passar por uma AIR antes da elaboração da proposta para consulta pública.
PPPs
Como defenderam outras associações e empresas, a Associação Neo diz que há baixa representatividade de prestadoras de pequeno porte (PPPs) no grupo de trabalho sobre cibersegurança (GT-Ciber). Foi a partir desse grupo que a Anatel decidiu incluir na proposta da consulta os três grupos de prestadoras, incluindo as PPPs, sobre as quais recairiam todas as obrigações de cibersegurança.
Segundo a entidade, o fato de apenas a TelComp ter sido admitida no GT-Ciber, em caráter excepcional, mostra um déficit de representação dos pequenos. A associação cita inclusive o voto do então presidente da agência, Leonardo Euler, que mencionou que deveria haver participação das prestadoras e da sociedade em geral. Para a Neo, a Anatel deveria dar "pelo menos igual representação" às PPPs em relação às PMS.
Ex-post para as PPPs
Na questão da contribuição em si, a Associação Neo coloca que é necessário manter a assimetria regulatória para as PPPs, alegando que foi essa abordagem que permitiu ao mercado de provedores regionais crescer tanto nos últimos anos. Por isso, diz que a Anatel não deveria equiparar essas empresas menores com as operadoras de grande porte. Na prática, lembra que já há no R-Ciber a obrigação de que PPPs garantam a segurança dos serviços, citando ainda previsões da Lei Geral de Telecomunicações, do Marco Civil da Internet, da Lei Geral de Proteção de Dados Pessoais e do Regulamento de Serviços de Telecomunicações (Resolução nº 73/1998).
Assim, afirma que a as regras de cibersegurança para as PPPs sejam pautadas em regulação "light-touch/soft law", ou seja, por meio de melhores práticas e diretrizes para orientar e educar os players, sem a imposição de obrigações pesadas ex-ante (prévias), consideradas mais onerosas. Em vez disso, coloca que a Anatel aplique a obrigação ex-post, ou seja, apenas quando identificadas fragilidades e vulnerabilidades em equipamentos dos prestadores, em uma regulação responsiva.
Porém, no caso de a Anatel optar pela Instrução Normativa proposta, a Neo diz que deveria haver um período de transição para que as PPPs possam se adaptar aos novos condicionamentos, o que não teria sido abordado na minuta atual. Para a entidade, a modulação atenderia ao princípio da proporcionalidade. O prazo sugerido pela associação é de 180 dias para adoção das medidas.