04/05/2022 às 11h43min - Atualizada em 04/05/2022 às 11h15min

Aspectos práticos da quebra de sigilo do endereço IP

A possibilidade de quebra do sigilo telemático por requerimento da autoridade policial

Erik Maia Campelo

Erik Maia Campelo

LGPD e Proteção de Dados

Erik Maia Campelo

Existem muitas dúvidas sobre a possibilidade de requisição da autoridade policial pela quebra de sigilo telemático de usuário. A poucos dias um colega advogado me ligou com a seguinte pergunta: “O delegado pode solicitar a quebra do sigilo do IP?”.
 
Nesses casos eu costumo dizer que a internet não é anônima e muito menos terra sem lei. Onde quer que você vá, você deixa algo de si e sobre quem você realmente é. Alguns deixam mais, outros deixam menos, mas o melhor dos mundos é quando deixam seu endereço IP. Em posse disso, não é difícil descobrir sua identidade.
 
Mas afinal, o que são endereços IP?

Primeiramente, antes de tratarmos os aspectos práticos e de forma objetiva, vamos definir o que realmente é um endereço IP. Resumindo, IP é um número que identifica um computador em uma rede. Existem dois tipos de sistemas de endereçamento atualmente em uso, que são: IPv4 e IPv6.
 
Além disso, existem duas categorias de endereços IP. Os endereços IP privados são usados ​​para identificar máquinas em uma rede fechada. Sua rede Wi-Fi doméstica, sua rede corporativa na empresa ou escritório, por exemplo, utiliza endereço IP privado. Para permitir que seu PC converse com sua impressora, o seu gateway atribui a cada dispositivo um identificador exclusivo que chamamos de IP.
 
Então, fazendo uma analogia, os endereços IP são usados ​​em toda a Internet exatamente para a mesma finalidade, que é de atribuir a sua conexão um endereço IP na forma estática ou dinâmica.
 
Os endereços IP estáticos são fixos. Imaginem o endereço IP como um número de telefone. A menos que você propositalmente queira trocar o seu número, ele permanece o mesmo. Isso porque eles são normalmente usados ​​por equipamentos ou serviços como servidores, sites e aplicações nos quais você deseja ter um endereço que nunca muda.
 
Os endereços IP dinâmicos são mais comumente usados ​​em instalações residenciais ou comerciais de menor porte. Ao contrário dos endereços estáticos, eles mudam. Os provedores reatribuem à rede um novo endereço IP de forma periódica. Essa forma permite manutenção e provisionamento mais fáceis pelos ISPs.
 
Provedores de conexão e provedores de aplicação mantem registros
 
Para que se possa entender melhor, é preciso conhecer a distinção dada pelo Marco Civil da internet, Lei 12.965/2014 quanto à classificação do tipo de serviço. Os provedores de conexão são empresas que fornecem conexão de internet, ou seja, são as prestadoras de serviço de internet que contratamos para termos acesso à rede mundial de computadores. Já os provedores de aplicação de internet ofertam serviços e aplicações que são acessadas através de um dispositivo conectado à internet, são serviços como: Redes Sociais, sites, blogs, streaming de vídeos e músicas.
 
Sendo assim, o provedor de conexão é a forma que utilizamos para chegarmos aos provedores de aplicação, e de acordo com o Marco Civil da internet, cada um tem direitos e obrigações próprios e por determinação legal devem manter registros sobre seus usuários.
 
Agora, vamos supor que um serviço como o Facebook ou Instagram seja usado para cometer um delito cibernético, seja um delito próprio ou improprio. O usuário cria uma conta falsa e começa a realizar práticas delituosas no ambiente virtual. A real aplicação da lei pode contribuir para a identificação do criminoso, na forma que a autoridade competente oficie o provedor de conexão ou serviço a fornecer o endereço IP associado a essa atividade. A intimação é um instrumento legal usado para obrigar provedores a fornecer provas, geralmente sob a ameaça de uma penalidade por descumprimento.
 
Logicamente que depois de obter o endereço IP, eles ainda precisam de mais informações para descobrir a identidade do criminoso. Os endereços IPs identificam computadores, não pessoas. Para alcançar esse objetivo os investigadores devem primeiro determinar qual ISP possui esse endereço IP.
Apesar de muitos acharem o contrário, isso é mais fácil do que imaginam. Os ISPs normalmente possuem blocos de endereços IP. Obrigatoriamente esses IPs são registrados em bancos de dados públicos e gerenciados por RIRs (Regional Internet Registry). Existem cinco RIRs, e cada um é responsável por administrar os endereços IP em sua própria região. Portanto, encontrar um provedor de conexão é apenas uma questão de realizar a busca do endereço IP no banco de dados correto.
 
Basta você pesquisar “pesquisa de IP” no Google, que encontrará diversos sites que farão o trabalho por você. Ainda é possível utilizar ferramentas especificas para se conseguir informações mais apuradas.
 
Uma vez tendo informação de qual é o provedor de conexão a quem pertence determinado IP, é apenas uma questão de enviar outra intimação destinada ao provedor de conexão que de acordo com o Marco Civil da internet deverá manter os registros pelo prazo de 1 ano.
 
Mas e se o seu provedor de conexão usar endereços dinâmicos? Não importa, porque os ISPs, assim como os sites, retêm os logs. Observando seus registros, eles poderão facilmente identificar qual assinante estava associado a esse endereço IP naquele momento específico.
 
Isso não quer dizer que você encontrou o criminoso. Por exemplo, se ele usou o Wi-Fi público para cometer o delito, as autoridades só podem rastrear a atividade até esse ponto de acesso público. No entanto, eles podem através de outros meios buscar mais informações como por exemplo imagens de câmeras de segurança para ver quem visitou esse estabelecimento ou usou essa máquina em um horário específico.
 
Vale a pena ressaltar que os órgãos de persecução penal não são os únicos interessados em identificar endereços IP. Muitas vezes, empresas de softwares e escritórios de advocacia coletam endereços IP usados ​​para baixar atualizações de softwares não licenciados (os chamados softwares piratas). Em seguida, buscam judicialmente intimar os ISPs para obter informações desses clientes.
 
Claro, qualquer pessoa pode anonimizar seu tráfego de internet usando o Tor ou uma VPN. Muitas VPNs até afirmam que não retêm logs de uso, embora muitas vezes seja difícil verificar se isso é verdade.
 
É importante dizer que o fornecimento dos dados cadastrais do usuário por meio do IP não fere o que está estabelecido na Lei Geral de Proteção de Dados (LGPD), pelo simples fato do provedor encontrar-se amparado em Resolução da Anatel, no Marco Civil da Internet, como na própria LGPD.
 
Afinal, o Provedor de conexão é obrigado a fornecer o IP a autoridade policial?
 
O Marco Civil da Internet dispõe que o administrador do sistema deverá manter os registros de conexão pelo prazo de 01 (um) ano para os provedores de conexão e 06 (seis) meses para os provedores de aplicação. Existe ainda a Resolução nº 738/2020 da Anatel que obriga a guarda dos registros de conexão pelo prazo mínimo de 01 (um).
 
O próprio Marco Civil, tem como um dos princípios essenciais a proteção da privacidade, protegendo e fortalecendo como um direito da pessoa o não fornecimento de suas informações sem a sua permissão, a não ser dentro das hipóteses previstas na lei.
 
O fornecimento de dados pessoais, de acordo com o Marco Civil da Internet, seria compulsório somente mediante determinação judicial, e ainda, o requerimento deverá conter sob pena de inadmissibilidade os requisitos do artigo 22, parágrafo único, que são: I - fundados indícios de ocorrência do ilícito; II - justificativa motivada da utilidade dos registros, seja para a investigação, seja para a instrução probatória; III - período ao qual se referem os registros.
 
Contudo, o artigo 10, paragrafo terceiro do Marco Civil, abre um vácuo interpretativo por parte das autoridades policiais. É com base nele que as autoridades embasam os seus pedidos de quebra de sigilo.


Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.

[...] § 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição

 

Por mais que o artigo 10, § 1º deixe cristalino que a disponibilização dos registros de conexão somente poderá ser efetivada mediante ordem judicial, as autoridades policiais em questão tentam se valer do parágrafo 3º, argumentando se tratar somente de “dados cadastrais do IP” e não aos registros de conexão.
 
O ponto a ser discutido é: quem são essas autoridades administrativas descrita no § 3º e quais os limites da sua atuação? O esperado era que a lei trouxesse um Rol taxativo de quem são as autoridades administrativas e quais os seus limites.
 
O fato é que essa divergência na interpretação da lei gera uma insegurança gigantesca para os provedores, que querem atuar de acordo com o Marco Civil da internet e para as autoridades policiais, que entendem dispor de competências maiores.
 
Destaco ainda que o requerimento de ordem judicial por parte da autoridade policial não gera nenhuma barreira para a investigação. Hoje em dia os processos são digitais e basta um simples pedido eletrônico pelo Delegado, contendo os requisitos do artigo 22, parágrafo único, para o que o requerimento seja deferido pela autoridade judicial.
 
Resumindo, havendo requisição de dados de conexão de IP’s, a Prestadora é obrigada a fornece-los à autoridade tão somente em caso de ordem judicial. A recusa ou não resposta à autoridade judicial poderá gerar responsabilização por descumprimento.

A autoridade policial ou o Ministério Público poderá tão somente requerer cautelarmente ao provedor de conexão que os registros de conexão sejam guardados por prazo superior a 1 (uma) ano.
 
É importante destacar que várias autoridades policiais se utilizam do mecanismo de solicitação de ordem judicial para identificar o usuário. O que só reforça a contradição com a tentativa de burlar o Marco Civil da Internet, solicitando administrativamente os dados cadastrais de IP.
 
Até o momento o judiciário não enfrentou realmente o tema o que por enquanto gera insegurança e reflexos para os provedores de acesso à internet.
 
É certo que o tema envolve uma ampla discussão que vai além das próprias ações judiciais que questionam os inúmeros pedidos de quebra de sigilo sem autorização judicial. Esperamos que em breve tenhamos jurisprudência pacificando de vez esse tema. Contudo, bastaria o Decreto 8.771/2016 que regulamenta o Marco Civil, apontar de forma taxativa a impossibilidade de as autoridades policiais solicitarem dados cadastrais de IP para obterem análise dos registros de conexão sem ordem judicial.

Link
Tags »
Leia Também »
Comentários »
Fale pelo Whatsapp
Atendimento
Precisa de ajuda? fale conosco pelo Whatsapp