Com o advento da Lei 12.965/2014 popularmente conhecida como Marco Civil da Internet, tornou-se obrigatório para os Provedores de Conexão à internet a preservação dos registros de conexão dos seus usuários, para que seja permitida a identificação dos suspeitos de atividades criminosas por intermédio da rede mundial de computadores (internet). Para tanto, a autoridade solicitante precisa de ordem judicial.
No entanto, para a mera apresentação de dados cadastrais (nome, CPF, RG, endereço e filiação) dos usuários não se faz necessária qualquer ordem judicial. Tal prerrogativa foi pensada para que fosse possível encontrar fisicamente pessoas ou obter dados necessários para a propositura de ações judiciais por exemplo.
Nesse sentido, uma interpretação completamente equivocada da referida lei, pelas autoridades policiais, está criando um “atalho” para que a quebra do sigilo dos usuários seja realizada sem autorização judicial.
É com muita frequência que várias empresas (Provedores de Conexão a Internet) são procuradas por Autoridades Policiais para que façam a apresentação de dados cadastrais de determinados IPS.
As autoridades policiais apresentam requerimentos aos provedores de internet informando unicamente o número do IP identificado na prática da conduta investigada, com data e horário, requerendo que seja identificado o usuário do IP. Mas tais pedidos configuram quebra de sigilo e eis que perpassam pela necessidade de análise dos registros de conexão.
Embora a Lei nº 12.965/2014, no artigo 10, estipule expressamente que a disponibilização dos registros de conexão somente poderá ser efetivada mediante ordem judicial, as autoridades em questão tentam se valer da assertiva contida no parágrafo 3º do artigo supracitado, alegando que a busca se atém tão somente aos “dados cadastrais do IP” e não aos registros de conexão:
“Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º. […]
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição. ” (Grifos pelo autor).
Não se nega que o trecho mencionado acima garante às autoridades competentes o direito de obter os dados cadastrais dos clientes dos provedores de internet, sendo que o próprio Supremo Tribunal Federal já reconheceu que o mero acesso aos dados cadastrais não configura quebra de sigilo dos dados.
A Lei nº 12.965/2014, de início, não respondeu a duas perguntas centrais no que se refere a confusão entre obtenção de dados cadastras e a quebra de sigilo mediante análise dos registros de conexão: (a) o que é dado cadastral? e (b) quais meios podem ser utilizados para a obtenção dos dados cadastrais sem configurar quebra de sigilo?
Quase dois anos após a entrada em vigor do Marco Civil da Internet, o Decreto Lei n. 8.771/2016 definiu o conceito de “dados cadastrais” como sendo “a filiação; o endereço e a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário” (art. 11, §2º).
E na mesma esteira, o Decreto 8.771/2016 resolveu a segunda questão principal, conforme se observa da simples análise do art. 11, §3º do Decreto n. 8.771/2016, senão vejamos:
“Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais. (…); § 3º Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos”.
Portanto, quando houver no pedido apresentado pela autoridade competente um requerimento para que sejam informados os dados cadastrais é imprescindível que o usuário esteja previamente especificado, uma vez que o texto mencionado acima impõe que os pedidos de acesso aos dados cadastrais “(…) devem especificar os indivíduos cujos dados estão sendo requeridos (…)”.
E, mesmo diante da clareza reluzente da redação trazida pelo Decreto 8.771/2016, as autoridades policiais entendem que para obter os “dados cadastrais” associados ao IP não é necessário especificar previamente o usuário, bastando tão somente mencionar o número do IP e data/hora/minuto/segundo, entendendo ainda não ser necessária autorização judicial para que possam ter acesso aos “dados cadastrais” do usuário pretendido.
Ademais, as alegações das autoridades policiais apontam ainda ser possível realizar a identificação do usuário unicamente pelo número do IP (e informações sobre o momento da conexão), como se o número de IP fosse sempre diretamente associado a um único usuário.
Nesse sentido é necessário destacar que o número de IP não é sempre um meio de identificação e individualização de um usuário, pois o IP propriamente dito não possui “dados cadastrais” e tampouco compõe o rol de dados classificados como “dados cadastrais” de acordo com o previsto no Decreto 8.771/2016. O IP é uma ferramenta de identificação da conexão e sempre estará associada ao provedor de conexão (Provedor de Internet) e, ao contrário do que sustentam, pode ser utilizado por mais de uma pessoa simultaneamente em lugares distintos. É comum, por exemplo, diversos usuários para um mesmo IP, ao mesmo momento.
Em sincronia com este entendimento é impossível, sem ordem judicial, que sejam apresentados os dados do usuário tão somente com a apresentação do número do IP e data/hora/minuto/segundo. Tal situação configura a quebra do sigilo do usuário IP, pois sem sombra de dúvidas será feita a quebra de sigilo dos registros de conexão.
Em verdade, diante da referida solicitação de dado cadastral de IP, o que busca a autoridade policial é a análise dos registros de conexão do usuário e, vale dizer, que tal registro de conexão é formado pelo IP. Essa é a confusão ocasional trazida pela autoridade para não solicitar a prévia ordem judicial.
Embora as autoridades policiais entendam tratar-se de mera requisição de dados é evidente que quando a solicitação está embasada somente por um registro de conexão atrelada a um número IP, o provedor, para localizar o usuário, fatalmente terá que verificar seus registros de conexão a fim de confirmar se aquele referido usuário estava ou não conectado à internet, por meio daquele IP, em um determinado momento.
Assim, se para identificar o usuário o provedor de internet necessita verificar o registro de conexão deste, por meio do número do IP utilizado naquela respectiva conexão, haverá uma quebra do sigilo do IP às avessas e a verificação e divulgação de registros de conexão somente podem se dar com ordem judicial.
O problema é que este entendimento gera uma “queda de braço” interminável entre os provedores, que querem pautar sua atuação de acordo com a legislação (notadamente a Lei 12.965/2014 e Decreto 8.771/2016) e as autoridades policiais, que entendem serem detentoras de competências maiores.
Por vezes, os provedores são compelidos a apresentar os dados dos usuários atrelados a determinado IP sob a ameaça de instauração de procedimentos criminais para responsabilização por desobediência e obstrução. Isso tudo porque a legislação, embora clara, vem sendo mal interpretada, diga-se, de propósito.
E, além das medidas penais ameaçadas pelas Autoridades, de outro lado, mesmo cumprindo as determinações existe o risco de responsabilização cível diante da quebra de sigilo sem autorização judicial, conforme dita o Marco Civil da Internet em seu art. 12, que prescreve suspensão temporária e até proibição das atividades.
Assim, os provedores são colocados em uma verdadeira encruzilhada, pois de um lado, para seguir a correta interpretação da legislação, sofrem ameaças de instauração de procedimentos para responsabilização criminal pelo não fornecimento das informações requeridas pelas autoridades e, em sentido oposto, caso forneçam os dados sem exigir a apresentação de autorização judicial poderão ser responsabilizados até mesmo com a proibição do exercício de suas atividades. E isso, nessa segunda ótica, sem contar com as ações de danos morais decorrentes das quebras de sigilo dos seus usuários.
É notável que a situação envolva uma ampla discussão que vai além das próprias ações judiciais que já questionam a arbitrariedade dos pedidos de quebra de sigilo sem autorização judicial, como é o caso da ação movida pela REDETELESUL contra a Secretaria de Segurança Pública do Estado do Paraná.
Com efeito, para que seja pacificado de vez esse tema, bastaria o Decreto que regulamenta o Marco Civil, apontar de forma taxativa a impossibilidade de as autoridades solicitarem dados cadastrais de IP para obterem análise dos registros de conexão sem ordem judicial.
Eduardo Cunha Oliveira
eduardo@silvavitor.com.br
Advogado da Silva Vitor, Faria & Ribeiro – Sociedade de Advogados