Terça-feira, 10 de dezembro de 2019

ISSN 1983-392X

Provedores precisam guardar dados suficientes para identificar usuários de seus serviços

sexta-feira, 6 de dezembro de 2019

O Supremo Tribunal Federal anunciou que julgará em 2020 um dos temas mais importantes para o Direito Digital: a constitucionalidade ou não do artigo 19 do Marco Civil da Internet (lei 12.965/2014). Pouco se falou, mas este dispositivo que afasta a responsabilidade dos provedores de aplicações de internet enquanto não houver ordem judicial que determine a remoção de determinado conteúdo tem relação direta com a obrigatoriedade de os provedores armazenarem e fornecerem os dados de seus usuários.

A obrigatoriedade de armazenamento e fornecimento de dados de identificação dos internautas vem prevista em diversos preceitos do Marco Civil, em especial nos artigos 10 a 17 da lei. Para o que interessa a este artigo, transcreve-se o seguinte:

"Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º". (g.n.)

De início, entendeu-se por uma interpretação restritiva do dispositivo, uma vez que os "registros de conexão e de acesso a aplicações de internet" eram estritamente os previstos no art. 5º, inc. VIII, da lei, a saber: "o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP"1, de modo que os provedores limitavam-se a fornecer tais dados, sempre após ordem judicial.

Todavia, a partir de certo momento, o fornecimento de data e hora de acesso e o respectivo IP passou a ser insuficiente para identificação do usuário. É que houve o esgotamento da tecnologia então utilizada (conhecida como IPv4), de modo que os provedores de conexão passaram a migrar – paulatinamente – para a versão mais nova (IPv6). No período de transição, foram autorizados a compartilhar um mesmo endereço de IP com dezenas e às vezes centenas de usuários2.

A partir de então, para identificar cada um dos usuários que compartilhavam um mesmo IP, passou-se a utilizar outro dado, conhecido como "porta lógica de origem", informação que pertence tanto aos provedores de conexão, quanto aos de aplicações.

Explica-se: o provedor de conexão distribui um IP para vários usuários e atribui a cada um deles uma respectiva porta lógica. Todavia, como esses provedores não podem fazer qualquer tipo de distinção "por conteúdo, origem e destino, serviço, terminal ou aplicação" – segundo a regra da neutralidade de rede, disciplinada no art. 9º do Marco Civil – são os provedores de aplicações que possuem a informação complementar: qual IP e porta lógica acessou seus serviços em determinada data e horário.

Fazendo uma analogia, teríamos o seguinte: o provedor de conexão pode ser visto como a máquina que distribuiu senhas numéricas a cada pessoa que entra numa agência bancária. Numa determinada manhã, a máquina informa que entraram naquela agência 200 clientes. Todavia, ao distribuir as senhas, ela não sabe o que cada pessoa fez no banco. Nesta comparação, os provedores de aplicações seriam os funcionários dos caixas, que recebendo a senha que foi distribuída a cada um, podem identificar que o cliente 1 fez um saque, o cliente 2 um empréstimo, o 3 uma transferência entre contas, o 4 um depósito em dinheiro, assim por diante. Para saber o que um determinado cliente (usuário) fez, é necessário juntar as informações da senha recebida com a operação feita no caixa.

Doutrina e jurisprudência divergiram sobre (i) se os provedores de aplicações deveriam fornecer apenas as informações definidas no art. 5º, VIII, da lei, numa interpretação gramatical do Marco Civil da Internet, que não faz qualquer menção à porta lógica de origem ou (ii) se tais provedores deveriam também armazenar e fornecer a porta lógica, com fundamento em interpretação sistemática da lei, em especial do acima transcrito art. 10, § 1º, que menciona que os registros de conexão e acesso podem estar "associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário"3.

Recentemente, a Terceira Turma do Superior Tribunal de Justiça definiu – em dois acórdãos que são considerados os leading cases do tema no âmbito do STJ – que o fornecimento da porta lógica é essencial para a identificação dos usuários e, assim para o "correto funcionamento da rede e de seus agentes operando sobre ela", sendo fundamental a guarda de tal informação pelos provedores, para fornecimento mediante ordem judicial. Tratam-se dos Recursos Especiais nº 1.777.769/SP, da relatoria da Ministra Nancy Andrighi e nº 1.784.156/SP, relator o ministro Marco Aurélio Bellizze, ambos julgados em 5/11/2019.

Como os dois recursos foram julgados à unanimidade pela Terceira Turma e ainda não se tem notícia de que a Quarta Turma do STJ tenha pautado algum recurso sobre o mesmo assunto, há a expectativa de que a orientação recentemente firmada no Superior Tribunal de Justiça passe a ser adotada pelos tribunais estaduais, que até o momento possuem decisões em ambos os sentidos. Afinal, a correta e efetiva identificação dos usuários é essencial para a atribuição de responsabilidades na internet.

___________

1 IP ou Internet Protocol é uma identificação numérica para cada computador ou dispositivo (impressora, smartphone, etc) conectado a uma rede, responsável por endereçar e encaminhar os pacotes ou blocos de informações que trafegam pela internet.

2 Sobre o tema, vide o relatório final do Grupo de Trabalho para implantação do protocolo IPv6, da Anatel. Acesso em 4/12/2019.

3 Confira-se, a título de exemplo das diferentes posições, os artigos de Renato Opice Blum, Ettore ZamidiOmar Kaminski e Dennys Antonialli et al. Acessos de 5/12/2019.

Ricardo Maffeis Martins

Ricardo Maffeis Martins é professor de Direito Processual Civil da Escola Paulista do Direito - EPD. Advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Membro do Centro de Estudos Avançados de Processo (Ceapro) e da Comissão de Estudos de Inteligência Artificial do IASP. Ex-assessor de ministros do STJ, onde exerceu também a função de coordenador da Segunda Seção.

Daniel Bittencourt Guariento

Daniel Bittencourt Guariento é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.