Desnecessidade de autorização judicial para requisição administrativa do Delegado de Polícia ou Promotor de Justiça.
Não raras vezes, setores jurídicos de empresas que atuam como provedoras de internet, ao receberem requisições de autoridades administrativas, tais como Delegados de Polícia e Promotores de Justiça, relacionadas a dados cadastrais de usuários de IPs (Protocolo de Internet), por interpretação equivocada do Marco Civil, Lei nº 12.965/ 2014, bem como do Decreto 8.771/ 2016, que regulamenta o Marco Civil, recusam o envio dos dados cadastrais vinculados a IP's às autoridades, alegando tratar-se de informação protegida por reserva de jurisdição, exigindo para tal uma ordem judicial específica.
Há, inclusive, julgados no mesmo sentido. No entanto, por se tratar de tema que requer um básico conhecimento técnico do que são os registros de acesso (IPs, portas lógicas, datas/hora, entre outros), muitas vezes o tema não é amplamente debatido e a legislação pertinente não é inteiramente observada. Ocorrem erros de definições conceituais, ensejando em decisões pautadas em premissas equivocadas.
Via de regra, a autoridade policial ou o Promotor de Justiça já representaram judicialmente para a obtenção dos registros de acesso (logs de acesso, IPs, portas lógicas, datas e horários de acesso) de determinada aplicação de internet, tais como os registros oriundos dos serviços mensageiros como o WhatsApp, ou de sítios de relacionamento como Facebook, Instagram, Twitter e outros, e com os respectivos registros (IPs, Portas lógicas, data e horário de acesso), já disponibilizados às autoridades administrativas por meio da decisão judicial, resta apenas à autoridade checar, em fontes abertas, o provedor de internet relacionado ao indivíduo (cliente, usuário do IP) que a autoridade requer a identificação.
Assim, basta à autoridade requisitar administrativamente da respectiva empresa, os dados cadastrais vinculados ao exclusivo usuário/ cliente que se utilizava daquele registro de acesso (IPv4 com porta lógica ou IPv6, e seus respectivos horários de acesso).
O equívoco dos setores jurídicos de algumas empresas provedoras de internet nasce, muitas vezes, na interpretação do artigo 10 da Lei 12.965/ 2014.
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
O Marco Civil definiu alguns conceitos, entre eles estão os registros de conexão e ainda o de de acesso a aplicações de internet:
Art. 5º Para os efeitos desta Lei, considera-se:
(...)
VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
(...)
VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.
Como se nota, os registros de conexão e os registros de aplicação de internet são, em linhas gerais, os próprios registros de acesso dos quais a autoridade policial já os detém, ou seja, os números de IPs e suas respectivas datas e horários da utilização pelo indivíduo que a autoridade requer a identificação.
Isto superado, temos que além dos registros de conexão e registros de acesso a aplicações de internet, há outros dois grupos de informações mencionadas no caput do artigo 10, sendo os dados pessoais e o conteúdo das comunicações privadas.
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas 4 grupo, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
Na sequência do artigo 10, do § 1 ao § 3, foram especificadas quais daqueles grupos de informações do caput são protegidas por sigilo.
O § 1º fez menção aos dois primeiros grupos, sendo aos registros de conexão e os registros de acesso a aplicações de internet (IP's, portas lógicas, datas e horários de acesso), estabelecendo que a disponibilização de tais dados se dará mediante ordem judicial, conforme se vê:
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
O § 2º se ateve ao conteúdo das comunicações privadas, notadamente sempre protegidos por sigilo:
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º.
Restou ao § 3º definir em relação aos dados pessoais, e, de forma a proteger a privacidade, restringiu às autoridades competentes para requisitá-los limitados aos denominados como dados cadastrais, os quais se se limitam, basicamente, a nome, filiação e endereço:
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
Ou seja, os registros de conexão e os registros de aplicação a internet do indivíduo, bem como o conteúdo das comunicações privadas e os dados pessoais que extrapolem os limitados a dados cadastrais, devem ser fornecidos à autoridade mediante ordem judicial.
No caso em análise, nenhum dos dados acima são requeridos pela autoridade quando da requisição de dados cadastrais vinculados aos usuários de IP, pois a autoridade, via de regra, já representou judicialmente para a obtenção do IP e já o detém.
Voltando ao § 1º, temos que o envio dos próprios registros de conexão e registros de acesso a aplicação de internet (ambos tratando-se de IP's, portas lógicas, datas e horários de acesso), independente eventuais associações que a autoridade venha a requisitá-los, não devem ser enviados, salvo mediante ordem judicial, vejamos:
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º .
A disponibilização dos registros dos registros de forma autônoma.
Trata-se da disponibilização dos registros (IPs) por si só, diretamente. Como exemplo seria a autoridade requisitar os registros (IP's, portas lógicas e respectivas datas e horas) de determinada conta do Facebook (provedor de aplicação de internet), sem necessariamente associá-los a um usuário específico.
Outro caso mais voltado ao provedor de internet, seria o exemplo da autoridade requisitar diretamente de determinada operadora de telefonia móvel, que naturalmente também é uma provedora de internet, os registros de conexões (extratos de conexões) de determinado terminal telefônico, sem sequer informar a quem pertence aquele terminal. Seria o envio dos registros (IPs) de forma autônoma, o que é vedado se não houver ordem judicial.
Não seriam esses os casos em relação ao tema abordado, pois a autoridade não requer isso.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º .
A disponibilização dos registros associados a dados pessoais.
Ou seja, a autoridade não necessariamente sabe da existência ou não de registros de conexão (extrato de conexões) ou de acesso à aplicações de internet (Facebook) dos respectivos provedores em relação ao indivíduo, mas informa aos provedores os dados pessoais do indivíduo e requer eventuais registros (IPs) existentes.
Um exemplo seria a autoridade enviar um número de CPF à operadora de telefonia e, caso o indivíduo seja cliente da operadora, que sejam enviados os respectivos registros de conexão (extrato de conexões - IPs). O que só pode ser fornecido mediante ordem judicial.
Mas, mesmo que a autoridade aponte a específica conta no Facebook ou o respectivo terminal telefônico dos quais se requer os registros (IPs), combinados com o dado pessoal do indivíduo, há a vedação do envio dos registros (IP's, portas lógicas, datas e horários). Neste caso, um exemplo seria a autoridade enviar um número de terminal telefônico à operadora de telefonia, informar ainda dados pessoais do indivíduo e requerer que sejam enviados os respectivos registros de acesso (extrato de conexões - IPs). O que também somente se procede mediante ordem judicial.
Também não seria o caso, pois a autoridade já possui os registros.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7ºº .
A disponibilização dos registros associados a a outras informações que possam contribuir para a identificação do usuário ou do terminal.
Da mesma forma a autoridade pode saber ou não da existência dos registros (IPs) relacionados ao indivíduo junto ao respectivo provedor de internet ou de aplicação de internet, sendo que neste caso, a autoridade informa ao provedor outras informações, diversas e não tão específicas quanto aos dados pessoais, mas capazes de contribuir para que se chegue na identificação do indivíduo.
Como exemplo a autoridade, de posse de um número da conta bancária de um indivíduo que praticou estelionato, naturalmente quer identificá-lo, mas por só saber o número da conta bancária do criminoso, requerer do banco eventuais registros (logs de acesso - IPs) de eventuais aplicativos acessados utilizando-se daquela conta.
Ou, com base em outras informações que possam contribuir para a identificação do usuário ou do terminal, tais como um número de cartão de crédito, um endereço, um e-mail, um número cadastral ID ou até um próprio IPv6, requerer do respectivo provedor os registros (IPs).
Embora seja irrelevante para o caso em análise, pois é indiferente, a expressão "contribuir para a identificação do usuário ou do terminal" se prestaria a auxiliar a provedora de internet ou de aplicação de internet na identificação dos registros do usuário, e não à autoridade requisitante, que o faria num segundo momento, ao requisitar o cadastro do IP ao provedor de conexão.
Ainda mais se considerarmos que a condição de outras informações a contribuir para a identificação vem após a vedação de que a autoridade informe os próprios dados pessoais do indivíduo, deixando claro que quaisquer outros dados capazes de auxiliar na identificação, não autorizarão o envio dos registros (IPs) sem a ordem judicial.
Em síntese, o § 1º em toda sua extensão, veda que o provedor responsável pela guarda disponibilize à autoridade somente os registros (IPs, portas lógicas, datas e horários de acesso), vedando que a autoridade apresente (associe) quaisquer dados à provedora de internet ou de aplicação de internet, por mais precisos que sejam, como os próprios dados pessoais do indivíduo, para que, com base nos dados apresentados, a provedora venha a disponibilizar à autoridade os próprios registros (IP's) sem determinação judicial.
E, reiterando, o que as autoridades administrativas requerem diretamente dos provedores de internet não são esses dados, vejamos:
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
()
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
Naturalmente, podemos entender dados pessoais, protegidos pela reserva de jurisdição, conforme o caput do artigo 10 do Marco Civil, como um conjunto mais amplo de dados, tais como, além de nome, filiação e endereço, que são tidos como dados cadastrais, a orientação sexual, o clube do coração, a religião, entre outros. Logo, o conceito de dados pessoais pode assumir caráter mais amplo que o de meros dados cadastrais.
O Decreto 8.771/ 2016 veio regulamentar o Marco Civil, e definiu alguns pontos importantes em relação ao tema, bem como reiterou a definição de dados cadastrais:
Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014 , indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.
(...)
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
A requisição de dados cadastrais pelas autoridades administrativas já estão presentes em outras leis, citamos como exemplo a Lei 12.850/ 2013, de Combate ás Organizações Criminosas:
Art. 15. O delegado de polícia e o Ministério Público terão acesso, independentemente de autorização judicial, apenas aos dados cadastrais do investigado que informem exclusivamente a qualificação pessoal, a filiação e o endereço mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito.
O parágrafo 3º do artigo 11 do decreto 8.771/ 2016 definiu um dos principais pontos onde há confusão por parte de setores jurídicos das empresas provedoras de internet:
§ 3º Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos.
Nesse ponto, importante ressaltar uma questão de ordem técnica. Em linhas gerais, os blocos de IPs se dividem entre os denominados IPv4 e o IPv6, em relação ao primeiro, seu número se esgotou, e em alguns casos, não todos, esse tipo de IP passou a adotar o uso compartilhado, denominado como CGNat, ou seja, o mesmo IP é utilizado por várias pessoas. Nesses casos, para a identificação exata do usuário que se utilizava daquele IP, é necessário que a autoridade detenha a informação de qual a Porta Lógica o investigado se utilizava. Essa informação, geralmente vem juntamente com o IP já obtido pela autoridade.
Em relação ao IPv6, sua utilização não é compartilhada, devido a sua muito maior capacidade de números de IP disponíveis.
Em se tratando de IPv4 de utilização compartilhada (CGNat), sem que a autoridade apresente a respectiva porta lógica, por se tratar de uma requisição coletiva, genérica ou inespecífica, conforme vedação do § 3º do artigo 11 do decreto 8.771/ 2016, necessitará a autoridade de representação junto ao Poder Judiciário para pleitear tais dados.
No entanto, voltando ao tema central, em se tratando de IPv4 combinado com a respectiva Porta Lógica ou sendo o IPv6, ambos trazendo consigo as respectivas datas e horários de utilização, são informações capazes de determinar exclusivos usuários, ou seja, são capazes de especificar indivíduos para o provedor de internet, do qual se requer os dados pessoais, restritos aos contemplados no parágrafo § 3º do artigo 10 do Marco Civil da Internet, denominados como dados cadastrais (nome, filiação e endereço).
Especificar: indicar com precisão; precisar, apontar, discriminar
Indivíduo: qualquer ser concreto, conhecido por meio da experiência, que possui uma; unidade de caracteres e forma um todo reconhecível.
Especificar indivíduo, naturalmente, é diferente de identificar o indivíduo e apresentar seus dados ao próprio provedor de internet, do qual se pretende por meio da requisição formulada, justamente, sua identificação por meio dos dados cadastrais.
Para a polícia, o RG de um indivíduo é capaz de especificar o indivíduo, à Receita Federal o CPF segue na mesma linha, e ao provedor de internet, um conjunto de dados exclusivos, contemplado pelo IPv4 com porta lógica ou IPv6, combinando com a respectiva data e horário de utilização, são capazes, com absoluta certeza, de especificar o indivíduo em relação ao qual se requer os dados cadastrais.
Não para por aí, o Decreto 8.771, trouxe mais algumas definições que reiteram esse entendimento:
Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e
O conjunto IPv4 e Porta Lógica, bem como o IPv6, ambos com suas respectivas datas e horários, são também considerados dados pessoais, pois são, inequivocamente, identificadores eletrônicos ou números identificativos relacionados a UMA, exclusiva, pessoa.
Então, fazendo uma análise lógica, quando a autoridade informa à provedora de internet tais dados (IPs, portas lógicas e data/hora), além da autoridade já especificar o indivíduo para o provedor de internet, conforme determina o parágrafo § 3º do artigo 11 do Decreto 8.771/ 2016, ela informa um dado pessoal do indivíduo em relação ao qual se requer meramente os dados cadastrais, pois, conforme o inciso I do artigo 14 do Decreto 8.771, os IPs de utilização exclusiva assumem o caráter de dado pessoal.
A forma como se deu a redação do § 3º do Artigo 11 do decreto 8.771/ 2016 deixa claro que, em relação às informações mencionadas no caput do artigo 10 do Marco Civil, podendo a autoridade especificar os indivíduos, poderão ser fornecidos, entre todas aquelas informações protegidas, os dados cadastrais.
O Decreto 8.771/2016, de forma prudente, ateve-se ainda à disciplinar o acesso aos registros dos usuários para atender as requisições das autoridades administrativas, estabelecendo diretrizes e responsabilidades que o provedor deve adotar e relação aos prestadores de serviço que, ao antederem as requisições das autoridades, acessem os registros, além de determinar que os dados sejam organizados de forma estruturada, fato que, naturalmente, permitem buscas objetivas e o mais restritas possíveis aos dados, com o mínimo de aceso possível ao prestador de serviços. Logo, são totalmente improcedentes quaisquer argumentos de ocorrência de quebra de sigilo por parte do próprio servidor, nesses casos.
Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014 ; e
Art. 15. Os dados de que trata o art. 11 da Lei nº 12.965, de 2014 , deverão ser mantidos em formato interoperável e estruturado, para facilitar o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 13 deste Decreto.
Tiago Lopes Pinheiro, policial militar.
Referências;
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm
https://nic.br/noticia/na-midia/o-queecgnatecomo-isso-pode-afetar-sua-conexao-de-internet/