MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Decreto 12.975/26: Por que o IP já não basta para identificar o usuário

Decreto 12.975/26: Por que o IP já não basta para identificar o usuário

Com o CGNAT, o IP já não basta para identificar quem fez o quê. O decreto 12.975/26 exige guardar também a porta lógica, e isso reacende o equilíbrio entre identificar e proteger dados.

quarta-feira, 1 de julho de 2026

Atualizado às 09:17

Publicado em 21/5/26 e com entrada em vigor sessenta dias depois, o decreto 12.975/26 alterou o decreto 8.771/16, que regulamenta o Marco Civil da Internet. O debate público concentrou-se em temas como moderação de conteúdo, representação legal de plataformas no país e deveres de transparência, num contexto que sucede a discussão sobre a constitucionalidade do art. 19 da lei 12.965/14. No meio dessas mudanças, uma alteração de menor visibilidade pode ter impacto operacional relevante sobre provedores de conexão e de aplicação. O art. 15-A passou a prever, de forma expressa, que o dever de guarda dos registros de endereço IP abrange também a porta lógica de origem associada, sempre que necessária para a identificação inequívoca do terminal de origem ou do próximo enlace de rede.

A relevância da medida só fica clara quando se compreende por que o endereço IP deixou de ser suficiente para individualizar um usuário. Com o esgotamento dos endereços IPv4, tornou-se comum o emprego do CGNAT (Carrier Grade Network Address Translation), técnica que permite o compartilhamento de um mesmo IP público por dezenas, centenas ou milhares de assinantes simultâneos. Nesse modelo, o IP isolado aponta para a rede do provedor, e não para um dispositivo específico. A individualização depende da porta lógica atribuída àquela conexão, elemento numérico capaz de distinguir, entre vários usuários que dividem o mesmo IP no mesmo instante, quem efetivamente realizou determinada atividade. Sem a combinação de IP, porta de origem e marcação temporal precisa, uma requisição pode retornar uma multiplicidade de suspeitos ou, no limite, apontar pessoa diversa daquela investigada.

O decreto, nesse ponto, positivou orientação que o STJ já vinha consolidando. Ainda em 2019, no julgamento do REsp 1.777.769/SP, de relatoria da ministra Nancy Andrighi na 3a turma (julgado em 05/11/19), a corte assentou que tanto os provedores de conexão quanto os de aplicação têm o dever de guardar e fornecer a porta lógica de origem associada ao endereço IP, enquanto não concluída a migração para o IPv6. No mesmo ano, no REsp 1.784.156, de relatoria do ministro Marco Aurélio Bellizze, a mesma turma reforçou que, sem a porta lógica, a solução técnica de compartilhamento esvaziaria o dever legal de identificação. Mais recentemente, no REsp 2.170.872/SP, novamente sob relatoria da ministra Nancy Andrighi, a Turma reafirmou esse entendimento e esclareceu que o provedor de conexão não pode condicionar a identificação do usuário ao prévio fornecimento da porta por outro agente, pois também está obrigado a armazenar o IP e, por consequência, a porta a ele vinculada. Ao tornar expresso esse dever, o art. 15-A alinha o regulamento ao entendimento jurisprudencial.

Dois aspectos da nova redação merecem destaque prático. O primeiro está no §1º do art. 15-A, segundo o qual o dever de guarda independe de prévia requisição e recai autonomamente sobre cada provedor. A obrigação é, portanto, ex ante: o dado precisa existir antes da ordem judicial, e não pode ser produzido apenas após o seu recebimento. Esse desenho dialoga com a leitura do STJ, no sentido de que cada provedor responde pela guarda em seus próprios registros, sem transferir a terceiros o ônus da individualização. O segundo aspecto diz respeito ao alcance subjetivo. A norma não se dirige apenas aos provedores de conexão. Os provedores de aplicação também estão abrangidos, de modo que uma empresa que opere serviço web, plataforma ou hospedagem e registre tão somente o IP de acesso passa a manter, na prática, registro incompleto à luz do art. 15-A combinado com os arts. 13 e 15 do Marco Civil.

A medida, contudo, não se esgota na lógica investigativa. A combinação de IP, porta lógica e horário permite chegar a pessoa natural identificável, de modo que a guarda desses registros configura tratamento de dados pessoais submetido à LGPD e ao direito fundamental à proteção de dados, hoje com assento constitucional. Há aqui uma tensão que merece exame cuidadoso. O decreto amplia o conjunto de informações que devem ser retidas, ao passo que o art. 6º, III, da lei 13.709/18 consagra o princípio da necessidade, que limita o tratamento ao mínimo indispensável à realização de suas finalidades. A compatibilização apoia-se em dois pilares. O primeiro é a base legal: a retenção encontra fundamento no cumprimento de obrigação legal ou regulatória, nos termos do art. 7º, II, da LGPD. O segundo é o regime de acesso: o fornecimento dos dados permanece condicionado à ordem judicial, como deixa claro o §2º do art. 15-A ao remeter aos arts. 10 e 22 da Lei 12.965/2014. A consequência é que a base de registros de NAT se torna ativo particularmente sensível. Quanto maior o volume de dados retidos, maior o dano potencial em caso de incidente de segurança, o que desloca parte do debate da identificação da autoria para a responsabilidade do guardião dos dados. A fiscalização desses aspectos é repartida: os padrões técnicos de guarda seguem o regulamento do Marco Civil, ao passo que a proteção dos dados pessoais envolvidos atrai a atuação da ANPD, com fundamento na LGPD.

Esse aspecto conecta-se a uma preocupação de proporcionalidade e de isonomia concorrencial. A adequação da infraestrutura para guardar a porta lógica de forma segura, com sincronização temporal confiável, controle de acesso e cifragem, envolve custo e prazo. Grandes plataformas internalizam esse custo com relativa facilidade. Pequenos provedores de conexão e de aplicação, ao contrário, podem ter sua capacidade competitiva comprometida, sobretudo diante de prazo de adequação uniforme. Embora o art. 15-A não preveja calibragem expressa conforme o porte, o próprio decreto reconhece essa lógica ao autorizar, no art. 16-P, critérios diferenciados para o cumprimento de outros deveres pelos provedores de aplicação, com atenção especial aos pequenos. A mesma racionalidade deveria orientar a aplicação do dever de guarda da porta lógica, seja pela cláusula de necessidade inscrita no próprio art. 15-A, que condiciona a obrigação ao que for necessário à identificação inequívoca, seja pelo princípio da proporcionalidade, que recomenda avaliar a adequação da exigência, a existência de meios menos gravosos e a relação entre os benefícios pretendidos e os custos e riscos impostos.

Há, ainda, questões que o decreto não enfrentou. O regulamento do Marco Civil já fixa diretrizes gerais de segurança para a guarda dos registros, como o controle estrito de acesso, a autenticação, o inventário de acessos e o uso de criptografia, nos termos do art. 13 do decreto 8.771/16. O que permanece em aberto é saber se esses parâmetros gerais bastam diante do volume e da sensibilidade ampliados pela inclusão da porta lógica, bem como a ausência de tratamento específico para incidentes envolvendo essa base, que hoje se resolve apenas pelo regime geral de comunicação previsto na LGPD. É justamente o ponto em que o dever de reter encontra o dever de proteger, e seria desejável ver esse conteúdo melhor explicitado.

O decreto 12.975/26 reforça a capacidade de identificação de usuários no ambiente digital e confere base normativa expressa a um entendimento que a jurisprudência já vinha construindo. Sua aplicação responsável dependerá de equilíbrio. De um lado, a finalidade legítima de viabilizar investigações e responsabilizações. De outro, a observância do princípio da necessidade, a proteção da base de dados resultante e a atenção às assimetrias entre os agentes do setor. O acerto da medida será aferido menos pelo seu texto e mais pelo modo como reguladores, judiciário e operadores conciliarem esses vetores na prática.

Luiz Felipe Fortes dos Santos Gehlen

VIP Luiz Felipe Fortes dos Santos Gehlen

Advogado (OAB/SC 78.602), DPO e consultor em direito digital, proteção de dados e segurança da informação, com mais de uma década em tecnologia e software.