Nesta semana (18/08), o InternetLab lança a oitava edição do “Quem Defende Seus Dados?” (QDSD). Desde 2016, inspirado na pesquisa “Who Has Your Back”, da organização norte-americana, Electronic Frontier Foundation (EFF), o projeto busca incentivar a transparência e a adoção de boas práticas em privacidade e proteção de dados pelas empresas de telecomunicações  no Brasil. 

A análise se estrutura a partir de categorias que abordam diferentes dimensões da atuação das empresas no campo da privacidade e proteção de dados pessoais, tais como a divulgação de política de proteção de dados, a adoção de protocolos para entrega de informações em investigações, a atuação em defesa dos usuários no Judiciário, a publicação de relatórios de transparência e de impacto à proteção de dados e até mesmo a notificação dos usuários em caso de solicitação de dados por autoridades. As empresas avaliadas podem receber pontuações fracionadas, com classificações que vão de um quarto de estrela até uma estrela cheia em cada uma das categorias analisadas.

Neste ano, diante do escândalo da chamada “Abin Paralela” e dos desdobramentos investigativos conduzidos pela própria Anatel sobre o uso de ferramentas espiãs como o spyware First Mile, o relatório também avaliou a possível inércia das operadoras frente às suas vulnerabilidades de segurança e aos indícios de interceptação ilegal das comunicações de seus usuários. Esse tipo de spyware é capaz de explorar brechas em redes de telecomunicação para monitorar, em tempo real, ligações e mensagens trocadas por celular. Avaliamos, nesse contexto, se as empresas tomaram medidas para identificar e comunicar esses riscos ao público em geral, seus usuários e autoridades pertinentes, como a Anatel.

Metodologicamente, a oitava edição marca um passo importante na consolidação do QDSD. Pela primeira vez, tornamos público e transparente o critério de seleção das empresas avaliadas. Nas edições anteriores, a escolha das operadoras era feita com base em sua relevância no setor, mas o critério adotado não era formalizado nos relatórios. Neste ano, passamos a adotar explicitamente o ranking da Anatel com base no número de assinantes, o que traz mais transparência e objetividade ao processo de seleção. Com isso, a Algar — que havia sido incluída em edições anteriores — deixou de ser avaliada por não figurar mais entre as maiores operadoras do país. As empresas analisadas nesta edição foram Claro, Vivo, Oi, Tim e Brisanet. 

Destacamos a diferença de porte entre as quatro primeiras empresas e a Brisanet. Entendemos que Claro, Vivo, Oi e Tim contam com equipes específicas voltadas à proteção de dados e à cibersegurança — recursos menos disponíveis para empresas regionais como a Brisanet. Essa diferença ajuda a explicar, mas não justifica por completo, a tendência de pontuações mais altas entre as grandes operadoras. As notas mais baixas da Brisanet devem ser compreendidas à luz desse contexto, mas também apontam para a necessidade de avanço institucional no compromisso com os direitos de seus usuários.

Além disso, destacamos que, ainda que não seja um critério formal de avaliação, o nível de engajamento das empresas com a pesquisa pode funcionar como um termômetro do seu grau de preocupação com os usuários. Nesse sentido, Claro, Vivo, Oi e Tim responderam aos nossos questionamentos, agendaram reuniões e enviaram evidências de suas políticas. A Brisanet, por outro lado, não respondeu a nenhum de nossos contatos durante o período de pesquisa, mesmo tendo sido acionada por meio do e-mail do próprio encarregado de dados indicado pela empresa.

O diálogo com as empresas é uma peça-chave do QDSD. Mais do que garantir uma avaliação técnica e precisa, essa troca ajuda a amadurecer a discussão sobre privacidade e proteção de dados no setor. Nosso processo começa com uma busca ativa em fontes públicas, onde mapeamos políticas, documentos e informações institucionais disponíveis. Mas essa é apenas a primeira etapa. Em um segundo momento, enviamos às operadoras uma versão preliminar das pontuações em cada categoria, acompanhada das justificativas que embasam cada avaliação. Junto, vai o convite: revisar, corrigir e atualizar informações que possam estar incompletas ou desatualizadas. Essa etapa de diálogo serve para tornar o relatório mais certeiro e, ao mesmo tempo, criar um espaço para que as empresas apresentem evidências adicionais, compartilhem documentos e esclareçam pontos que talvez não estejam claros ao público. Em outras palavras, é também uma oportunidade de transparência e de construção conjunta. 

Além disso, esse diálogo com as empresas nos ajuda a compreender padrões que se repetem ao longo das edições da pesquisa. A interação direta permite não apenas checar dados, mas também contextualizar resultados reiterados e lançar luz sobre pontos críticos. Um exemplo claro está na Categoria 6, que avalia se as operadoras notificam os usuários sempre que há solicitação de dados por parte de autoridades públicas. 

Ao longo das edições, nenhuma empresa alcançou pontuação neste critério. Entender o por quê é essencial para interpretar esse cenário com mais profundidade e o diálogo com as empresas permite justamente isso: ouvir as justificativas diretamente das operadoras. Como justificativa, as empresas alegaram o que classificam como obstáculos legais ou até mesmo operacionais para não notificar os usuários. Por exemplo, um ponto levantado é o receio de comprometer o sigilo de investigações em andamento, especialmente quando há dúvidas sobre o momento apropriado para informar o titular. Um segundo, a ausência de diretrizes claras na legislação sobre notificação ao titular. Ainda assim, mantemos esse critério na metodologia por entender que a notificação, sempre que legalmente possível, é uma ferramenta essencial de transparência. Mesmo nos casos em que o sigilo impede a comunicação imediata, empresas comprometidas com a proteção de dados podem, por exemplo, adotar políticas que prevejam a notificação posterior, quando isso se tornar juridicamente viável. 

Nesta edição, no entanto, registramos um avanço importante: a TIM se tornou a primeira operadora a cumprir integralmente os critérios dessa categoria, ao implementar uma política formal de notificação e apresentar evidências concretas de sua aplicação. Segundo a própria empresa, a política foi formulada e publicada como resposta direta à nossa avaliação anterior — o que reforça não apenas a viabilidade do critério, mas também a relevância da pesquisa para transformar práticas do setor. Essa vitória evidencia o papel do QDSD como ferramenta de indução e engajamento institucional. 

Essas interações também têm impacto direto na forma como aprimoramos nossa metodologia. Um exemplo central nesta edição foi a discussão sobre o parâmetro que avalia se as empresas informam, em seus relatórios de transparência, o número de contas afetadas por pedidos de acesso a dados (Categoria 5, Parâmetro IV, item c). A Categoria 5 analisa se as operadoras publicam relatórios periódicos sobre pedidos de dados por autoridades públicas. Avaliamos, por exemplo, se esses documentos são acessíveis, estão em português e incluem informações relevantes como volume de pedidos, tipo de dado requisitado e número de contas afetadas. 

Em conversa com uma das operadoras, foram apresentadas dificuldades técnicas e jurídicas para atender a esse critério. A empresa argumentou que muitas ordens não identificam diretamente os titulares — usando, por exemplo, IMEIs ou ERBs — e que produzir estimativas sobre os afetados poderia extrapolar o escopo legal das ordens ou violar a LGPD. Segundo a operadora, seus sistemas foram desenhados para restringir o acesso a dados sensíveis — e não para permitir sua quantificação ou análise agregada.

Ainda assim, optamos por manter o parâmetro nesta edição por alguns motivos. Primeiro, porque todas as empresas já haviam sido avaliadas com base nesses critérios, e uma delas, inclusive, demonstrou seu cumprimento. Mudar a régua após a avaliação comprometeria a comparabilidade e a integridade dos resultados. Além disso, seguimos entendendo que algum grau de mensuração, ainda que parcial ou estatístico, é essencial para compreender o alcance das ordens e qualificar o debate sobre proporcionalidade e transparência no acesso a dados. Nosso papel, enquanto pesquisa independente, é escutar, ajustar quando for o caso, mas também sustentar perguntas incômodas quando necessárias. E, neste caso, a pergunta permanece: quantas pessoas estão sendo atingidas pelas ordens judiciais, e quem tem o direito de saber?

Veja os principais achados do relatório abaixo:

• Categoria 1 – Informações sobre políticas de proteção de dados. As empresas continuam pontuando de forma sólida, mantendo o padrão observado na edição anterior. As empresas Claro, Oi e Tim atenderam a todos os critérios elencados pela metodologia do InternetLab.
• Categoria 2 – Protocolos de entrega de dados: Houve estabilidade geral nas notas. A Brisanet, no entanto, não cumpriu nenhum dos critérios  avaliados. A Vivo, que costumava pontuar com estrela cheia em outras edições, teve um decréscimo em sua nota e atingiu 3/4 da estrela cheia.
• Categoria 4 – Compromisso público com a privacidade: Para além do posicionamento público em defesa da privacidade e proteção de dados de forma geral — critério que avaliamos em todas as edições — nesta edição, examinamos especificamente as respostas das empresas diante do uso das ferramentas de spyware por meio de suas vulnerabilidades de segurança.  As manifestações da Claro e Oi foram consideradas satisfatórias; as da Tim e Vivo, parcialmente satisfatórias.
• Categoria 5 — Relatórios de transparência: A transparência sobre o impacto de ordens judiciais segue como um ponto cego relevante. Nesta edição, destacamos o debate com uma das operadoras sobre a dificuldade de informar o número de contas afetadas por requisições de dados — um subcritério cuja viabilidade técnica e jurídica foi amplamente questionada. Ainda assim, optamos por mantê-lo. Entendemos que dimensionar o alcance dessas ordens, ainda que de forma estimada, é crucial para qualificar o debate público sobre proporcionalidade e vigilância. Quando o dado não é possível, a pergunta se torna ainda mais urgente.
• Categoria 6 —  Notificação do usuário: Como explicado acima, essa categoria costuma ter baixa aderência entre as empresas de telecomunicações no Brasil. Ainda assim, observamos um avanço importante neste ciclo, com uma empresa apresentando evidências documentais de implementação de política de notificação. O movimento reforça a relevância do tema e a necessidade de avanços institucionais mais amplos.