Esta ocorrendo cada vez mais frequentemente a solicitação de informações de clientes por autoridades diversas.

Por mais natural que isso possa parecer para alguns, é comum que outros acabem entrando em um estado nervosismo excessivo, e muitas vezes se deixando pressionar por contatos de autoridades e acabam tomando atitudes de maneira impulsiva que tem resultados irreversíveis.

Diante disso, a primeira recomendação que damos a nossos clientes em situações como essa é: MANTENHA M A CALMA!

Como segunda recomendação, sugerimos que sua empresa esteja amparada por algum tipo de ASSESSORIA JURÍDICA especializada em assuntos de internet e telecomunicações.

Cabe reiterar que a assessoria jurídica seja prestada por profissional ou empresa com experiência comprovada nestes temas. Sem gerar nenhum demérito aos demais profissionais, ressaltamos que os temas dessa área são muito dinâmicos juridicamente e específicos tecnicamente, e em decorrência disso observamos que alguns casos orientados por assessoria jurídica sem a devida especialização acabam tendo resultados indesejáveis.

Vale salientar que a maioria das associações de provedores possuem serviços conveniados com profissionais e empresas com o perfil necessário para esses atuarem em temas como esse.

E agora, no terceiro ponto, foco principal deste documento, vamos abordar as dúvidas, casos, e problemas que observamos com maior recorrência com nossos clientes, e abordaremos uma parte das análises e orientações que fazemos sobre isso a nossos clientes.

Vale ressaltar que “assessoria jurídica no escopo de Internet e telecomunicações” não está no portfólio de serviços da Made4it até o presente momento (junho de 2021).

Neste documento, em nossas exemplificações, nós propositalmente não faremos referência a numeração ou identificação de legislações, pois não é o objetivo deste documento substituir ou sobrepor as orientações de um serviço de assessoria jurídica especializado nessas atividades.

A pergunta que recebemos com mais frequência sobre esse tema:

“Do ponto de vista legal, quem tem autoridade para solicitar ao provedor de Internet informações sobre seus clientes?”

Resposta -> DEPENDE!

De que tipo de informação estamos falando?

Se estivermos falando de identificação entre endereço IP e usuário ou usuário e endereço IP, a única pessoa que tem autoridade para solicitar isso é um Juiz! E ele só pode fazer isso através de uma ordem judicial, e nessa ordem judicial devem estar especificados datas e horários específicos para essa identificação, e no caso de o acesso de origem ter sido feito a partir de endereço IPv4 também é necessário que seja especificada a porta de origem utilizada no acesso.

            Isso significa que:

  • Um delegado de polícia (seja civil ou federal, ou até da polícia do congresso), não tem alçada legal para solicitar a identificação de um usuário a partir de um endereço IP.
  • Um deputado, prefeito, ou vereador também não tem alçada legal para solicitar a identificação de um usuário a partir de um endereço IP. Por mais incrível que pareça, são frequentes os relatos de proprietários de ISPs sendo pressionados por esse tipo de autoridades.
  • Mesmo que seja um Juiz. Ele não pode solicitar a identificação de um usuário a partir de um endereço IP sem ser através de uma ordem judicial, por telefone, e-mail, WhatsApp, ou até pessoalmente sem a emissão de nenhum documento.

Se estivermos falando de dados cadastrais, qualquer autoridade policial (delegado, investigador, policial) pode solicitar a informações CADASTRAIS da base de dados de empresas de prestação de serviço de abrangência massiva, contanto que forneça uma identificação inequívoca dos dados desejados.

            Então vamos por partes:

  • O que significa “empresas de prestação de serviço de abrangência massiva”?
    • São empresas que possuem em sua base cadastral informações de muitas pessoas, muitos endereços, e dados nesse sentido.
    • Exemplos de empresas assim são Empresas de Saneamento, Concessionárias de fornecimento de energia elétrica, Empresas de Telefonia, Provedores de Internet, Faculdades e Universidades.
  • O que significa “identificação inequívoca dos dados desejados”?
    • A autoridade policial pode solicitar os dados cadastrais de 1(um) endereço, ou de 1(um) usuário.
    • A autoridade policial NÃO PODE solicitar algo como: “me dê a lista completa de seus clientes com os dados de endereço e telefone”.
    • Em caso de ambiguidade ou homônimos, cabe à autoridade policial dirimir essa desambiguação. Especificando coisas como número da casa ou número do equipamento instalado na casa a ser identificada. Ou especificar os números de documentos, nomes dos pais, a fim de eliminar a possibilidade de homônimos e identificar especificamente a pessoa desejada.
  • Quais seriam exemplos cabíveis na lógica da legislação que assegura essa entrega de dados cadastrais?
    • Imagine que você é um investigador da polícia, e está procurando uma pessoa chamada “Teófilo Antônio de Oliveira Antunes de Souza e Sá” (nome fictício). E você recebeu de alguma forma que esse indivíduo fixou residência há certo tempo na cidade “Lugarlândia” (cidade fictícia). E nessa cidade a prestação de serviço de Internet é majoritariamente prestado pela empresa “CoisaNet” (empresa fictícia). O Investigador pode ir até essa empresa e solicitar os dados cadastrais ESPECIFICAMENTE DESSA PESSOA, e, portanto, saber onde essa pessoa tem residência.
    • Imagine que você é um policial, e está levantando informações sobre um crime ocorrido em uma residência em que não se saiba quem é o responsável pelo imóvel até aquele momento. E neste imóvel tem um link de Internet ativo da “CoisaNet”. O policial pode ir até a empresa e solicitar os dados cadastrais do responsável pelo link contratado na “Rua Azul, 123” (endereço fictício).
    • É importante frisar que a legislação de acesso a dados cadastrais não especifica que essa solicitação de dados cadastrais seja feita através de algum tipo específico de documento. E existem divergências sobre a exigência ou não de um ofício vinculado a instituição policial relacionada. O que sugerimos é que NUNCA ENTREGUEM DADOS SEM ALGUM REGISTRO DOCUMENTAL DESSA ENTREGA. Isso não significa que se deva gerar empecilhos para o andamento da atividade policial, pois no pior dos casos pode-se solicitar à autoridade que redija de próprio punho em folha em branco uma solicitação especificando os dados solicitados. E ao entregar esses dados, o faça em duas vias, pegando assinatura de confirmação de recebimento com data e local. Tudo isso leva menos de 10 minutos para ser providenciado.
  • Quais os casos mais comuns de uso descabido da legislação que assegura essa entrega de dados cadastrais?
    • É muito frequente que delegados, investigadores ou policiais enviem ofícios aos provedores de internet solicitando “Nos informe o nome e o endereço do usuário com o endereço IP ‘A.B.C.D’”. Não! Essa autoridade policial NÃO TEM ALÇADA para solicitar a identificação de um usuário com base em um endereço IP.
    • Outro caso frequente de uso descabido dessa legislação são as solicitações de dados cadastrais de forma muito genérica, sem especificar com exatidão a pessoa ou local a ser informado. Casos como por exemplo “Solicitamos os dados cadastrais de endereço e telefone e nome completo de todos os clientes de sua empresa com nome ‘José Carlos’” (nome fictício), ou então “Solicitamos os dados cadastrais de endereço e telefone e nome completo de todos os clientes de sua empresa no ‘Bairro Alvorada’” (bairro fictício).

Ainda falando sobre as informações que podem ser solicitadas, pelas autoridades, mesmo para as solicitações feitas por um Juiz através de uma ordem judicial, existem limites do que pode ser solicitado.

Essa é uma questão muito delicada para que consigamos que os leigos em tecnologia entendam. Mas não é incomum que, mesmo vindo de Juízes que supostamente deveriam estar amparados por orientadores técnicos competentes, recebemos solicitações como:

  • “Solicitamos que nos seja informado todos os websites acessados pelo cliente de seu provedor ‘Teófilo Antônio de Oliveira Antunes de Souza e Sá’” (nome fictício).

Um provedor de Internet que esteja respeitando todas as legislações relacionadas aos registros de conexão, privacidade de dados, proteção e segurança de dados, não deve ter possibilidade de conseguir obter esses dados.

E fica aqui um alerta muito importante!

  • Num contexto geral de operação, caso você consiga obter uma lista dos conteúdos acessado por algum dos seus clientes, sem que esse cliente esteja em alguma condição especial de Debug ou Troubleshooting, podemos afirmar com quase 100% de certeza que seu provedor está cometendo(inadvertidamente) algum tipo de ilicitude na obtenção desses dados.

Diante disso, é correto afirmar que em condições normais mesmo que sendo solicitado por um Juiz, um provedor de Internet deve não conseguir.

Quais as ações que um Provedor de Internet deve tomar ao receber uma solicitação de dados de clientes?

Resposta curtinha:

  1. Manter a calma e não colocar os pés pelas mãos nas atitudes.
  2. Ser educado, cordial e prestativo com qualquer pessoa que se apresente como autoridade. Sem deixar de ser cauteloso.
  3. Verificar a identificação da pessoa que se apresenta como autoridade, incluindo conferindo essa informação nos sites dos órgãos a que eles declaram ser.
  4. Comunicar a assessoria jurídica de seu provedor que recebeu essa demanda, e consultar a eles sobre se deve ou não responder, e sobre como responder.
  5. Caso seja uma autoridade competente a ter solicitado a informação, e for cabível a entrega da informação solicitada, deve-se:
    1. Fazer a entrega por escrito das informações solicitadas
    2. Pegar confirmação de entrega da informação com identificação do recebedor, local e data.
  6. Caso não seja uma autoridade competente a ter solicitado a informação, ou não for cabível a entrega da informação solicitada, deve-se:
    1. Fazer as consultas dos dados envolvidos e assegurar que estes estejam devidamente guardados/protegidos contra eventuais perdas por sobrescrita temporal
    2. Enviar resposta por escrito à autoridade solicitante sobre o motivo da impossibilidade da entrega da informação, reportando que já protegeu os dados da ação temporal.
    3. No caso de necessidade melhor especificação do usuário, solicitar melhor especificação para a autoridade solicitante.
    4. No caso de ser uma limitação de alçada da autoridade, sugerir à autoridade solicitante que dê o encaminhamento para que a solicitação venha
    5. Pegar confirmação de entrega da resposta com identificação do recebedor, local e data.

Esse conteúdo é baseado em situações que presenciamos no dia a dia, são dicas e ações que indicamos para nossos clientes seguirem. Reforçamos que não prestamos assessoria jurídica se você estiver passando por essa situação recomendamos que contrate um profissional.

Autor: Douglas Fischer (Especialista em redes Made4it)