DEVER DOS PROVEDORES DE ACESSO EM
ARMAZENAR DADOS DE USUÁRIOS E DE FORNECER O NÚMERO DO PROTOCOLO DE INTERNET SEGUNDO O STJ:
Muito se discute sobre o dever dos
provedores de acesso a internet, de armazenarem dados dos seus usuários e até
mesmo de fornecê-los, sob alegações de que estaria o fornecimento a
caracterizar ato de violação de privacidade ou intimidade, o que é objeto de
vedação pela Carta Constitucional brasileira. Particularmente, entendo que os
dados não devem ser sonegados impondo-se assim, o dever do provedor de acesso
em fornecê-los, notadamente para os seus próprios usuários em situações possam
gerar a ocorrência de atos criminosos.
Recentemente, com sustentáculo em
precedentes do próprio Tribunal da Cidadania, no sentido de que os provedores
de acesso à Internet são responsáveis pela preservação dos dados cadastrais dos
seus usuários, antes mesmo do início de vigência do Marco Civil da Internet (de
2014), a Terceira Turma do Superior Tribunal de Justiça rejeitou recurso
especial n.: 1785092, que foi interposto
por provedor de acesso que fora condenado a fornecer informações sobre um
usuário que no ano de 2009, invadiu o endereço eletrônico de um usuário e
disparou mensagens ofensivas aos destinatários.
Em seus argumentos, o provedor alegou
que teria iniciado o armazenamento dos dados vinte e três dias após a ocorrência
dos fatos narrados na medida judicial contra si aforada, todavia, o colegiado
entendeu que o dever de registro e armazenamento dessas informações já
encontrava proteção legal no Código Civil de 2002.
A autora da ação de obrigação de fazer
em suas razões disse que o “invasor” redigiu mensagens cujos conteúdos com ofensas
e ameaças, foram enviados para outras pessoas a partir do seu endereço
eletrônico (e-mail). O juízo de primeira instancia, determinou à empresa de
telefonia, o fornecimento das informações para identificação do “invasor”,
impondo a incidência de multa diária quantificada à razão de R$ 5.000,00 (cinco
mil reais). O Tribunal de Justiça do Estado de São Paulo, reformou parcialmente
a sentença, franqueando prazo de 48 horas para o adimplemento da obrigação e
para reduzir a multa diária para R$ 1.000,00 (um mil reais).
Em sede de especial, a companhia telefônica
aduziu razões no sentido de que, antes do ano de 2009, não armazenava
informações de conexões à internet efetuadas a partir de redes móveis. Também
argumentou que no lapso temporal da suposta invasão do endereço eletrônico, o
IP (protocolo de internet), tinha atribuição dinâmica, o que vale dizer era um
número único de registro, utilizado por vários usuários.
Conforme posicionamento da ministra Nancy
Andrighi, a relatora do feito apontou que Superior Tribunal de Justiça,
possui entendimento no sentido de que as prestadoras de serviços de internet,
sujeitam-se ao dever legal de registro de suas atividades durante o
prescricional de eventual ação de reparação civil, conforme disciplinado pelo
artigo 1.194 do Código Civil brasileiro. Segundo o seu entendimento, os
provedores têm o dever de armazenamento, e esses dados, devem ser suficientes
para a identificação do usuário. Disse a ministra:
...“Dessa forma, com base nesses
fundamentos, pode-se concluir que o provedor de acesso já possuía o dever de
armazenar os dados cadastrais e os respectivos logs de seus usuários, para que
estes pudessem ser identificados posteriormente, mesmo antes da publicação da
Lei 12.965/2014, que instituiu o Marco Civil da Internet”...
Sobre o argumento de que o protocolo de
internet dinâmico impediria a identificação do usuário, a relatora do feito
mencionou precedentes da Terceira Turma, no sentido de que o número do IP foi
projetado para ser único, de modo que, em cada acesso, ele corresponde a um
único dispositivo conectado à rede. E de forma precisa asseverou que:
...“Assim, mesmo com a utilização do
IP dinâmico, ao se determinar o local e a hora de acesso, é possível a
identificação do usuário.”...
Em outras palavras, ao discorrer sobre
a alegação segundo a qual, por utilizar método de alocação de números IP de
forma dinâmica, seria impossível determinar qual o usuário do serviço de
conexão à internet em um determinado espaço e tempo, deixou claro que o
Tribunal da Cidadania, já havia se pronunciado sobre o tema por ocasião do
julgamento do REsp 1622483/SP (Terceira Turma, DJe 18/05/2018). Na ocasião, o
relator ministro Sanseverino afirmou que:
...” Quanto a esse aspecto, o provedor recorrente
sustentou que o IP seria dinâmico, ou seja, que não haveria um número único
para cada usuário. Sustentou, também, que o armazenamento dos 'logs' dos
usuários seria inviável (demasiadamente oneroso), em função do grande número de
conexões que são continuamente realizadas. O Tribunal de origem superou essas
questões técnicas sob o fundamento de que o armazenamento de tais dados seria
"providência inerente ao risco do próprio negócio desenvolvido pelo
provedor" (fl. 658). Quanto a esse ponto, o recurso especial encontra
óbice na Súmula 7/STJ. Cabe esclarecer, contudo, que o IP dinâmico é aquele
não atribuído privativamente a um único dispositivo (IP fixo), mas compartilhado
por diversos usuários do provedor de acesso. No IP dinâmico, o usuário recebe
um número de IP diferente a cada conexão. Com essa medida, otimiza-se a
utilização dos números de IP, pois o IP que ficaria ocioso é aproveitado por
outro usuário. De todo modo, seja dinâmico, seja fixo, o número de IP é
projetado para ser unívoco, de modo que, num dado momento, a cada IP
corresponde um único dispositivo conectado à rede. De outra parte, quanto
aos custos do armazenamento dos logs dos usuários, correto o entendimento do
Tribunal no sentido de que se trata de "providência inerente ao risco do
próprio negócio", devendo a empresa suportar esse custo. A alegação de
impossibilidade fática, portanto, não obsta o pedido de identificação do
usuário. (Grifou-se)
E ao esteio do seu entendimento,
salientou que mesmo com a utilização do IP dinâmico, ao se determinar o local e
a hora de acesso, é possível a identificação do usuário, e, que inclusive,
naquela oportunidade mencionou-se um julgado em que foi permitida a
identificação do usuário, in verbis:
...”PENAL. PROCESSUAL PENAL. HABEAS
CORPUS SUBSTITUTIVO DE RECURSO ESPECIAL, ORDINÁRIO OU DE REVISÃO CRIMINAL. NÃO
CABIMENTO. DIVULGAÇÃO DE PORNOGRAFIA INFANTIL. INTERCEPTAÇÃO TELEMÁTICA.
INCOMPETÊNCIA DO JUIZ QUE DECRETOU A MEDIDA CAUTELAR. NÃO RECONHECIMENTO. 1.
Ressalvada pessoal compreensão diversa, uniformizou o Superior Tribunal de
Justiça ser inadequado o writ em substituição a recursos especial e ordinário,
ou de revisão criminal, admitindo-se, de ofício, a concessão da ordem ante a
constatação de ilegalidade flagrante, abuso de poder ou teratologia. 2. Nos
termos de precedente da Excelsa Corte, Quando a interceptação telefônica
constituir medida cautelar preventiva, ainda no curso das investigações criminais,
a mesma norma de competência há de ser entendida e aplicada com temperamentos,
para não resultar em absurdos patentes.(HC 81260, Relator(a): Min. SEPÚLVEDA
PERTENCE, Tribunal Pleno, julgado em 14/11/2001, DJ 19-04-2002 PP-00048 EMENT
VOL-02065-03 PP-00570). 3. Na espécie, a operação deflagrada pela Polícia
Federal visava identificar, em todo o território nacional, os indivíduos que
estavam publicando material pedófilo na internet, motivo pelo qual entendeu-se
que o Juízo da Capital Federal era o competente para a quebra do sigilo
telemático. Em decorrência da referida medida foram descobertos os dados cadastrais
dos usuários dos IP's investigados e a partir de então é que foram instaurados
inquéritos policiais e as consequentes ações penais nos respectivos Estados.
4. Habeas corpus não conhecido.”... (HC 263.311/SP, Rel. Ministro NEFI
CORDEIRO, SEXTA TURMA, julgado em 16/06/2016, DJe 28/06/2016)
Fulminando assim, as pretensões da
companhia de telefônica de se eximir da responsabilidade e do dever de
armazenamento de dados, mesmo porque, o armazenamento ainda que se revele em um
custo e nem se alegue elevado, pertence ao negócio e aos riscos a ele inerentes,
e, cumpre a empresa arcar com esse ônus.
Em sede de conclusão, da analise ainda
que sucinta do voto da ministra Nancy Andrighi, tenho que o dever do
provedor de acesso à internet de armazenar os dados, já encontrava previsão
legal, antes mesmo do início de vigência do Marco Civil da Internet. Da mesma
forma que tecnicamente, o fato de ser o protocolo de internet dinâmico, ou
seja, aquele em que o usuário recebe um número diferente a cada conexão, não
pode ser considerado uma forma de exclusão de responsabilidade para o
armazenamento dos dados, notadamente pelo fato de que o número de IP (seja
dinâmico, seja físico), é projetado para ser unívoco, na medida em que, em
determinado momento, cada IP corresponderá em um único dispositivo conectado à
rede, permitindo-se por via de consequência, identificar o dispositivo ao qual
se encontra conectado e naturalmente o seu usuário, cujos dados deverão estar
armazenados junto aos registros do prestador de serviços de conexão.
Portanto, no meu sentir, devem os
provedores de acesso à internet, preservar os dados de seus usuários e se for o
caso, fornecer os dados decorrentes de conexões aos usuários que por ventura
sejam vitimas de atos fraudulentos com o caso que foi levado ao Tribunal da
Cidadania, e, que a ilustre ministra Nancy Andrighi, com pertinácia exarou
entendimento no sentido de que os dados devem ser armazenados e,
particularmente, vou mais além, deverão ser fornecidos aos seus usuários em
casos que possam evidenciar a ocorrência de crimes. Esse é o meu ponto de
vista.
Gilberto
Marques Bruno
Advogado e Professor
Sócio fundador de Marques Bruno
Advogados Associados
(OAB/SP n.: 6.707)