Sexta-feira, 23 de agosto de 2019

ISSN 1983-392X

Da porta lógica de origem e o posicionamento do Poder Judiciário

Ettore Zamidi

O legislativo brasileiro fez um elogiado esforço de garantir a liberdade de expressão e a privacidade na rede, ao passo que a regulamenta para que a internet não seja um território onde maus usuários possam se utilizar de um suposto anonimato para a prática de ilícitos.

quarta-feira, 20 de junho de 2018

O Judiciário brasileiro tem desempenhado exemplar papel em garantir segurança no uso da internet e determinar medidas que possibilitem o rastreamento e a identificação de terminais e usuários responsáveis por ilícitos cometidos na internet, mesmo antes da sanção do Marco Civil da Internet (MCI).

A jurisprudência é pacífica quanto à obrigatoriedade de ambos os provedores de conexão e de aplicação manterem registros de logs que possibilitem de forma eficaz a identificação e rastreamento de usuários. Tudo nos termos como já salientado pela Ilma. Min. Nacy Andrighi, “adotar providências que, conforme as circunstâncias específicas de cada caso, estiverem ao seu alcance para a individualização dos usuários do site, sob pena de responsabilização subjetiva por culpa in omittendo”1.

O Legislativo, também não se manteve inerte, provendo por legislação mais específica, que reiterou normas já previstas. Assim, após extensa discussão e deliberações, o Marco Civil da Internet foi finalmente sancionado em abril de 2014.

Não obstante ter deixado a desejar por trazer definições técnicas duvidosas, prazos questionáveis, entre outros, segundo algumas críticas2, o legislativo brasileiro fez um elogiado esforço3 de garantir a liberdade de expressão e a privacidade na rede, ao passo que a regulamenta para que a internet não seja um território onde maus usuários possam se utilizar de um suposto anonimato para a prática de ilícitos.

Sabe-se que ilícitos perpetrados pela internet são tão graves que podem levar uma empresa à bancarrota com demissão de centenas de pessoas ou uma pessoa a cometer algo tão trágico quanto o suicídio4.

De fato, a necessidade em se manter meios eficazes para a identificação de determinado usuário/terminal é questão de grande interesse e importância para a toda sociedade.

Deve-se consignar que, devido à sua natureza, a internet sofre desenvolvimentos tecnológicos constantes à velocidade que o legislador certamente não poderia acompanhar, o que lhe traz grandes desafios, haja vista a dificuldade em se prever tais avanços tecnológicos e prover legislação específica a respeito.

Outrossim, a matéria demanda conhecimento técnico multidisciplinar, por estar relacionada à Tecnologia da Informação, matéria alheia para muitos de nós, juristas, não especializados na área de tecnologia.

O MCI, no capítulo das disposições gerais, aventura-se em trazer para o mundo jurídico algumas definições da área da tecnológica da informação.

Muito embora o legislador tenha trazido algumas definições da área de Tecnologia da Informação. no âmbito do artigo 5º da lei 12.965, o legislador foi cauteloso o bastante para encerrar o capítulo das disposições gerais com orientação quanto à interpretação da lei, determinando que ela seja feita de acordo com a natureza da internet em seu artigo 6º.

É necessário entender o caráter principiológico do MCI, não se podendo aceitar que, no esforço de definir o que seriam registros de acesso a aplicações de internet no inciso VIII do art. 5º, o legislador estar-se-ia limitando, tampouco impossibilitando a identificação de responsáveis pelo uso indevido da internet.

Assevera-se que a celebrada lei prevê a responsabilização de agentes de acordo com suas atividades (inciso VI, art. 3º), a inviolabilidade da intimidade e da vida privada do usuário com indenização pelo dano material ou moral decorrente de violação (inciso I do art. 7º), e claro, confiando na boa fé que deve gerir a conduta de todos nós, bem como a atuação de grande players do mundo digital, determina que provedores de aplicação sejam instados a fornecer informações que possam contribuir para a identificação do usuário ou terminal (§1º do art. 10).

O esgotamento de possíveis números de combinações de IP na sua quarta versão (sistema de protocolos criados em 1983), trouxe a necessidade de avanços tecnológicos e migração para a 6ª versão de IP, qual possibilita um número de combinações de IP muito maior através de combinações alfanuméricas.

Como o período de migração de uma tecnologia superada para a mais avançada demanda tempo investimentos e alterações gradativas, decidiu-se pelo uso de um paliativo transitório denominado CG – NAT44, o qual permite que vários usuários de internet se conectem através de um único IP.

É certo que, no relatório final do Grupo de Trabalho para implantação do protocolo IP-Versão 6 nas redes das Prestadoras de Serviços de Telecomunicações, o órgão administrativo responsável pela Gestão da Internet deu seu parecer quanto à questões técnicas resultantes da referida migração de tecnologia5:

Diante do exposto, é importante reforçar que durante o período de utilização da solução paliativa do CG-NAT44, para que o processo de apuração de ilícitos na Internet não fique prejudicado, é necessário que, não só provedores de acesso, como também provedores de conteúdo e serviços de internet (bancos e sites de comércio eletrônico, por exemplo) adaptem seus sistemas para possibilitar a armazenagem dos registros de aplicação (provedores de aplicação) ou registros de conexão (provedores de acesso) com a informação da “porta lógica de origem” utilizada.

Caso contrário, será inviável a identificação unívoca de um usuário que está fazendo uso de um determinado IP compartilhado. Este é um risco que necessita ser compartilhado com todos os elos da cadeia de investigação para garantir o correto funcionamento do processo de investigação. (g.n.)

Assim, do ponto de vista técnico expressado pelo órgão administrativo, não há dúvidas quanto à necessidade do armazenamento de dados acerca da porta lógica para se possibilitar a individualização de usuários e terminais por determinado evento, fato também consignado na CPI do crime cibernético.

Vale sempre lembrar que, somente com o cruzamento dos registros de acesso fornecidos pelo provedor de aplicação com registros armazenados pelo provedor de conexão é possível a individualização dos responsáveis por ilícitos. Porém, essa identificação fica prejudicada com o CG – NAT44, modelo que, conforme já exposto, permite que vários usuários de internet se conectem através de um único IP .

Feitas as preliminares técnicas, voltemo-nos para a obrigação acerca do armazenamento dos dados referentes à porta lógica. Não é razoável conceber que apenas com a previsão ipsis literis de questões tão técnicas quanto a implantação de porta lógica durante período migratório do padrão de Internet Protocol Version 4 para Internet Protocol Version 6, estariam os agentes responsabilizados pelo risco de seu negócio e papel no rastreamento e identificação dos maus usuários de internet.

Se assim fosse, o ordenamento jurídico brasileiro estaria vivendo uma gigante lacuna, onde a internet se tornaria um território em que ilícitos poderiam ser cometidos livremente sob suposto anonimato garantido pela falta de provisão legal sobre o mais novo avanço tecnológico.

Talvez pela complexidade técnica da necessidade da implantação e uso do CG-NAT44, por tal matéria envolver terminologia da área de ciência exatas, alguns operadores do direito parecem terem se atentado apenas com a atribuição de provedores de conexão no armazenamento de dados e deixado de lado os provedores de aplicação, responsáveis pelo território onde se materializa o ilícito/evento investigado.

Contudo, conforme elucidam muitos profissionais da área de T.I., o rastreamento/identificação de um usuário, quando a rede está nateada, é somente possível se tanto o provedor de conexão, quanto o provedor de aplicação/conteúdo armazenarem dados da porta lógica de acesso aquele conteúdo de internet.6

Assim, no presente período de transição em que o uso paliativo do CG-NAT44, que possibilita o acesso à internet por diversos usuários através do mesmo IP, outra forma não há, para se rastrear usuários, do que através do armazenamento dos dados acerca da porta lógica de acesso por ambos os provedores de conexão e de aplicação, sob pena de se frustrar o objetivo do MCI no que tange o rastreamento de usuários de internet.

Neste sentido, citamos precedentes do TJ/SP e pelo STJ:

“Ação de obrigação de fazer. Decisão que determinou à ré que forneça a porta lógica de origem utilizada pelo usuário infrator para a realização dos ilícitos, sob pena de multa diária. Inconformismo por parte da ré. Não acolhimento Para que se concretize a guarda dos registros de acesso a aplicações de internet determinada pelo caput do artigo 15 da lei 12.965/14, possibilitando que o provedor de conexão identifique o usuário final dos serviços de internet, faz-se necessário o registro não somente dos elementos trazidos no artigo 5º, inciso VIII (endereço IP e da data e hora de utilização), mas também a identificação da porta lógica de origem. Marco Civil da Internet que, dada sua natureza intimamente ligada à tecnologia da informação, não pode ser interpretado de forma restritiva, sob pena de inviabilizar a identificação de um usuário que está fazendo uso de um determinado IP compartilhado inteligência do artigo 6º da lei 12.965/14. Decisão mantida. Agravo de instrumento não provido.” (Agravo de Instrumento nº 2193330-35.2017.8.26.0000. Rel. designado: Piva Rodrigues, 9ª Câmara de Direito Privado. Data de julgamento: 30.01.2018).

“Contudo, o eg. TJ-SP assentou que "contrariamente ao alegado, não há na lei 12.965/14 (Marco Civil da Internet) qualquer limitação de responsabilidade quanto às informações relativas às 'portas lógicas de origem'" (fl. 301) e que a recorrente não apresentou provas ou dados ao processo que corroborassem a mera afirmação de impossibilidade de prestação da informação solicitada, mantendo a decisão que concedeu a antecipação de tutela pleiteada nos autos. A título elucidativo colaciona-se o seguinte excerto do v. acórdão estadual:

(…)

Primeiramente porque, contrariamente ao alegado, não há na lei 12.965/14 (Marco Civil da Internet) qualquer limitação de responsabilidade quanto às informações relativas às 'portas lógicas de origem'.

E embora seja plausível seu argumento de que os provedores de conexão possuem tais informações, tal circunstância não se revela como impeditivo a que o provedor de aplicação, igualmente, tenha acesso a tais dados. Melhor dizendo, insuficiente a mera alegação de impossibilidade de cumprimento da obrigação desacompanhada de prova plausível para afastar a determinação judicial de fornecer os dados solicitados. Não é crível que uma empresa no porte da agravante não mantenha um meio razoavelmente eficiente de rastreamento de seus usuários a fim de se garantir uma segurança que corresponda à diligência média esperada. Aliás, cabe dizer que em momento algum a requerida trouxe qualquer dado ou prova ao presente processo, limitando-se a afirmar a sua impossibilidade de prestação. Ademais, como é possível extrair do Relatório Final de Atividades do GT-IPv6 Grupo de Trabalho para implantação do protocolo IPVersão 6 nas redes das Prestadoras de Serviços de Telecomunicações (Clique aqui), houve um 'consenso que a única forma das prestadoras fornecerem o nome do usuário que faz uso de um IP compartilhado em um determinado instante seria com a informação da 'porta lógica de origem da conexão' que estava sendo utilizada durante a conexão. Dessa forma, os provedores de aplicação devem fornecer não somente o IP de origem utilizado para usufruto do serviço que ele presta, mas também a 'porta lógica de origem'. (…)

Por sua vez, no apelo nobre em exame, a ora recorrente não impugnou propriamente o fundamento ora transcrito, em especial, quanto à carência de provas carreadas aos autos que corroborassem a alegada impossibilidade de prestação das informações requeridas, provas estas que poderiam ensejar eventual reforma da decisão que deferiu a tutela antecipada em discussão. Nesse cenário, havendo fundamento autônomo e suficiente, por si só, para manter o v. acórdão local, o apelo nobre em liça encontra óbice na Súmula n. 283 do STF, aplicada por analogia.” (STJ – Agravo em Recurso Especial nº 1.113.061 - SP (2017/0130845-3) Relator: Ministro Lázaro Guimarães (Desembargador convocado do TRF 5ª Região). Publicado no DJe em 24/11/2017). (g.n.)

"Esta Corte fixou entendimento de que '(i) não respondem os provedores objetivamente pela inserção no site, por terceiros, de informações ilegais; (ii) não podem ser obrigados a exercer um controle prévio do conteúdo das informações postadas no site por seus usuários; (iii) devem, assim que tiverem conhecimento inequívoco da existência de dados ilegais no site, removê-los imediatamente, sob pena de responderem pelos danos respectivos; (iv) devem manter um sistema minimamente eficaz de identificação de seus usuários, cuja efetividade será avaliada caso a caso." (REsp1.641.133/MG,3ªT.,Rel.Min. Nancy Andrighi, j. em 20.06.2017). (g.n.)

Diante da breve exposição, infere-se que os tribunais pátrios estão construindo posicionamento quanto à responsabilidade dos provedores de aplicação de guardar a porta lógica de origem, como forma de manter meios eficazes para o rastreamento de usuários, ressaltando princípios e objetivos consagrados pelo MCI.

_________________

1“CIVIL E CONSUMIDOR. INTERNET. PROVEDOR DE CONTEÚDO. USUÁRIOS. IDENTIFICAÇÃO. DEVER. GUARDA DOS DADOS. OBRIGAÇÃO. PRAZO. DISPOSITIVOS LEGAIS ANALISADOS: ARTS. 4º, III, DO CDC; 206, §3º, V, 248, 422 e 1.194 DO CC/02; E 14 E 461, § 1º DO CPC. 1. Ação ajuizada em 30.07.2009. Recurso especial concluso ao gabinete da Relatora em 04.11.2013. 2. Recurso especial que discute os limites da responsabilidade dos provedores de hospedagem de blogs pela manutenção de dados de seus usuários. 3. Ao oferecer um serviço por meio do qual se possibilita que os usuários divulguem livremente suas opiniões, deve o provedor de conteúdo ter o cuidado de propiciar meios para que se possa identificar cada um desses usuários, coibindo o anonimato e atribuindo a cada imagem uma autoria certa e determinada. Sob a ótica da diligência média que se espera do provedor, do dever de informação e do princípio da transparência, deve este adotar as providências que, conforme as circunstâncias específicas de cada caso, estiverem ao seu alcance para a individualização dos usuários do site, sob pena de responsabilização subjetiva por culpa in omittendo. Precedentes. (...) 6. Recurso especial a que se nega provimento.” (STJ, REsp 1417641/RJ, Relatora Ministra Nancy Andrighi, 10/03/2014).

2 OPICE BLUM, RENATO, Portas Lógicas de Origem: identificação e caos jurídico.

3
EFE, DA, Analistas Internacionais elogiam Marco Civil da Internet, Folha de São Paulo. Disponível em: (Clique aqui)
; Redação de Revista Exame, Criadores da Internet Elogiam o Marco Civil. Disponível em: (Clique aqui), para citar alguns.

4PARREIRAS, MATEUS, Adolescente Mineiro é Vítima do Baleia Azul, o Jogo do Suicídio. Disponível em: (Clique aqui)

5
(Clique aqui)

6
GIOVA, Giuliano. Marco Civil e endereços na Internet inviabilizam produção de provas.
_________________

*Ettore Zamidi é advogado associado a Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, graduado Universidade de Kent, Reino Unido, atuante em Direito Digital e Propriedade Intelectual.