Requisição de IP e porta lógica aos provedores de aplicação

O Marco Civil da Internet (Lei nº 12.965/2014) é uma legislação cujo objetivo principal é regular as relações sociais entre os usuários de internet. Estabelece os princípios, garantias, direitos e deveres para o uso da internet no Brasil e o papel dos provedores pela guarda e manutenção dos registros de aplicação de internet e registros de conexão.

Como prestador de serviços, o provedor de aplicações, ao receber os usuários da internet que acessem o seu domínio, deverá guardar as informações relativas ao usuário, como por exemplo, o endereço IP, o navegador utilizado, a geolocalização, o sistema operacional e informações adicionais fornecidas por cookies.

Além do dever de guarda dos registros de aplicação de internet pelo prazo de seis meses, o artigo 15 também estabelece a obrigatoriedade de entrega dos registros após ordem judicial específica. Tais registros podem ser solicitados pela parte interessada para formação de conjunto probatório em processo judicial cível ou penal, conforme artigo 22 da lei.

Assim, não há uma faculdade em armazenar ou não certos dados ao disponibilizar um site para interação com usuários de internet, por exemplo. E nesse sentido, o Superior Tribunal de Justiça, no julgamento do Recurso Especial 1.784.156, de relatoria do ministro Marco Aurélio Belizze, firmou entendimento no sentido de atribuir aos provedores de conexão e de aplicação a responsabilidade não só pela atribuição a cada usuário de um número de IP, mas também pela organização da relação entre usuários, endereços de IP e portas lógicas.

Desse modo, não há que se falar em cumprimento da obrigação ao não fornecer, em juízo, a porta lógica de origem associada ao IP, quando não cumprido corretamente o papel de provedor de aplicação, ao não armazenar um componente essencial e indispensável à identificação dos usuários, "já que também é sua obrigação armazenar a porta lógica de origem do usuário para identificação dos dispositivos conectados à internet com o mesmo número de IP" (Acórdão 1331026, 07018435520208079000, relator: Eustáquio de Castro, 8ª Turma Cível, data de julgamento: 14/4/2021, publicado no DJE: 19/4/2021. Pág.: sem página cadastrada.)

Em se tratando de IPv4, o armazenamento da porta lógica é essencial, pois um endereço IP pode ser utilizado por várias conexões simultâneas (de vários assinantes, utilizando uma tecnologia chamada NAT (Network Address Translation). Nesse sentido, o grande problema que se enfrenta é que as empresas geralmente não ativam esse tipo de armazenamento ou configuração em seus servidores e dispositivos de rede, seja por desconhecimento, ou por não quererem arcar com esse investimento.

Conforme relatório da Anatel de dezembro de 2014 "GT-IPv6 Grupo de Trabalho para implantação do protocolo IP-Versão 6 nas redes das Prestadoras de Serviços de Telecomunicações — Relatório Final de Atividades" na seção "Implicações do GC-NAT44 na quebra de sigilo de dados telemáticos", observa-se que:

"Em ambos os Grupos de Trabalho foi consenso que a única forma das prestadoras fornecerem o nome do usuário que faz uso de um IP compartilhado em um determinado instante seria com a informação da 'porta lógica de origem da conexão' que estava sendo utilizada durante a conexão. Dessa forma, os provedores de aplicação devem fornecer não somente o IP de origem utilizado para usufruto do serviço que ele presta, mas também a 'porta lógica de origem'. Em uma Conexão à Internet, para cada sessão aberta pelo usuário, é utilizada uma 'porta lógica' para sua comunicação com outras redes e equipamentos. Assim, mesmo quando dois usuários fazem o uso compartilhado de um mesmo IPv4, eles usarão portas distintas para a sua comunicação. Será com base na informação da “porta lógica de origem” que as identificações judiciais para fins de quebra de sigilo e interceptação legal continuarão sendo possíveis de serem realizadas de forma unívoca. Portanto, torna-se necessário que na solicitação de quebra de sigilo seja informada, além dos atributos atuais (endereço IP de origem, data, hora e fuso da conexão), a porta de origem da comunicação."

Por questão lógica, é possível observar que há obrigatoriedade por parte dos provedores de aplicação em fornecer a porta lógica de origem para a correta identificação do usuário. Contudo, havendo resistência em fornecer o dado, ainda que alegue genericamente impossibilidade técnica, é possível a conversão da obrigação de fazer em perdas e danos, para que a vítima não seja obrigada a suportar prejuízo em virtude da ausência de cumprimento de obrigação técnica por parte do provedor.

Nos termos do artigo 499, do Código de Processo Civil,

"Art. 499. A obrigação somente será convertida em perdas e danos se o autor o requerer ou se impossível a tutela específica ou a obtenção de tutela pelo resultado prático equivalente."

Segundo entendimento do Superior Tribunal de Justiça,

"A impossibilidade que admite a conversão em perdas e danos deve ser de ordem subjetiva (por exemplo, a recusa do devedor, no caso de infungibilidade da obrigação de fazer: pintar um quadro, escrever um livro etc) ou de ordem objetiva/fática/material (por exemplo, a destruição do bem da vida, a venda a terceiros, no caso de obrigações de fazer fungíveis), sob pena de completo desvirtuamento do instituto que privilegia o cumprimento específico da obrigação" (STJ, 3ª T., REsp 1.760.195, min. Ricardo Cueva, j. 27/11/2018, DJ 10/12/2018).

Quanto à possibilidade de conversão da obrigação de fornecimento de porta lógica de origem em perdas e danos:

"AGRAVO DE INSTRUMENTO. DIREITO CIVIL. PROVEDORES DE SERVIÇO DE INTERNET. EXIBIÇÃO DE REGISTROS DE CONEXÃO. OBRIGAÇÃO DE GUARDA. PROTEÇÃO DA PRIVACIDADE E DOS DADOS PESSOAIS. DISPONIBILIZAÇÃO MEDIANTE ORDEM JUDICIAL. IDENTIFICAÇÃO DE AUTORES DE CRIMES OU CAUSADORES DE DANOS CIVIS. FRAUDE PERPETRADA NO PROCESSO ELEITORAL REALIZADO PELA INSTITUIÇÃO ORA AGRAVADA. INVIABILIDADE TÉCNICA. COMPARTILHAMENTO DE IP. INDICAÇÃO DA PORTA LÓGICA DE ORIGEM DO TERMINAL DO USUÁRIO. OBRIGAÇÃO DOS PROVEDORES DE APLICAÇÃO E CONEXÃO. NECESSIDADE DE DILAÇÃO PROBATÓRIA. CONVERSÃO DA OBRIGAÇÃO DE FAZER EM PERDAS E DANOS. […] 3. O Superior Tribunal de Justiça, no julgamento do Recurso Especial 1784156, de Relatoria do Ministro Marco Aurélio Belizze, firmou entendimento no sentido de atribuir aos provedores de conexão e de aplicação a responsabilidade não só pela atribuição a cada usuário de um número de IP, mas também pela organização da relação entre usuários, endereços de IP e portas lógicas. Essa foi a solução encontrada para viabilizar a individualização da conexão e da navegação de dispositivos conectados à internet com o mesmo número de IP, que passou a ser compartilhado enquanto não concluída a implantação da nova versão do padrão IPv6. 4. Descabe à agravante obstaculizar a prestação das informações requeridas, já que também é sua obrigação armazenar a porta lógica de origem do usuário para identificação dos dispositivos conectados à internet com o mesmo número de IP. 5. A alegação de eventual impossibilidade técnica para fornecimento das informações deve ser cabalmente demonstrada nos autos de origem, no curso da fase probatória, por ser matéria que refoge ao conhecimento do homem médio, sob pena de resultar na conversão da obrigação de fazer em perdas e danos. 6. Recurso conhecido e parcialmente provido." (Acórdão 1.331.026, 07018435520208079000, relator: Eustáquio de Castro, 8ª Turma Cível, data de julgamento: 14/4/2021, publicado no DJE: 19/4/2021. Pág.: sem página cadastrada.)

Nesse sentido, não sendo possível, por culpa do provedor, o cumprimento específico da obrigação, é possível a conversão em perdas e danos da obrigação de fazer, tendo em vista que sem o fornecimento da porta lógica de origem não há como proceder à identificação do causador do dano. Haverá, no caso, perda do direito da parte interessada no registro de identificar e responsabilizar o verdadeiro causador do dano, em virtude do não cumprimento de uma obrigação técnica imposta ao provedor de aplicação, considerando o meio em que atua.