Provedores de Internet têm recebido número crescente de demandas judiciais para apresentação de extratos de acesso de clientes investigados por supostas práticas de crimes cibernéticos. O movimento, agravado no final de 2020, parecia estar atrelado à Lei Geral de Proteção de Dados, em vigor desde setembro. Os pedidos continuaram em ascensão durante o período eleitoral, por conta do crescimento de alegadas práticas de criação de perfis falsos e divulgação de fake news – não abordados diretamente na lei. Passada a eleição, era de se esperar um arrefecimento. No entanto, essas solicitações crescem em número mês a mês e recaem, em boa medida, sobre provedores regionais de Internet que, responsáveis por 38% dos acessos de banda larga via fibra ótica no país, não raramente, descobrem estar atuando em desacordo com as obrigações legais que antecedem a própria LGPD.
O crescimento constante dos pedidos de extratos de logs junto a provedores é observado de forma empírica por consultorias, assessorias e fornecedores de softwares de gestão que atendem a essas empresas e auxiliam-nas nesses casos. Embora não haja dados oficiais ou mesmo consolidados que apontem o volume dessas demandas, são frequentes as notícias sobre vazamento de dados. Somente neste ano, dois casos do gênero tornaram públicas informações como CPF, nome, endereço, CNPJ, telefone, dentre outros, de 320 milhões de brasileiros.
Basicamente, a LGPD regulamenta direitos de indivíduos sobre seus dados e estabelece obrigações para quem os coleta, armazena e processa por vias digitais. Violações neste sentido, no entanto, compõem apenas uma parcela dos delitos virtuais alvos de ações na Justiça, que se vê diante de um crescimento exponencial da prática de crimes cibernéticos.
Entre janeiro e setembro de 2020, foram registradas 3,4 bilhões de tentativas de cyber ataques no país, segundo a empresa de segurança digital Fortinet. Outro estudo, da ClearSale, especializada em soluções antifraude, estima em 63,5% o crescimento de valores envolvidos em tentativas frustradas de prática deste tipo de crime no Brasil durante o primeiro semestre de 2020 ante igual período do ano anterior. O volume dessas ocorrências é atribuído ao aumento do uso da Internet por conta da pandemia, o que acabou por expandir também práticas como difamação, misoginia, incitação à violência, calúnias, pedofilia, extorsões, clonagens de perfis, dentre outros, na web.
A apuração destes crimes parte de um registro de ocorrência de um internauta, chega inicialmente a uma plataforma, página de Internet, mídia social e afins onde teria ocorrido o delito e, invariavelmente, chega ao provedor de Internet, ao qual a Justiça solicita os dados referentes aos períodos em que o suspeito esteve conectado à rede.
O crescimento desse tipo de solicitação tem exposto número significativo de ISPs que não dispõem dos dados de acessos de seus clientes. Uma das razões é o uso de softwares e sistemas de gestão genéricos que, embora atendam parte das necessidades relativas à administração de uma empresa, não trazem soluções voltadas ao atendimento das demandas específicas de provedores de serviços de telecomunicações perante o fisco e, neste caso, os órgãos reguladores e a Justiça.
A técnica mais usada hoje para obtenção de extratos de acesso, o IPv4 (Protocolo de Internet versão 4), tem capacidade para registros de endereços de até 32 bits, algo limitado. Diante do esgotamento da capacidade de armazenamento de identidades, é gradualmente substituído pelo IPv6. Ocorre que o uso de ambos implica em custos elevados. Para reduzi-los, os ISPs, principalmente os de menor porte, valem-se do CGNAT (Carrier Grade Network Address Translation), que possibilita o acesso simultâneo de vários usuários à Internet por meio de um mesmo endereço de IP público. A capacidade do software de gestão de identificar isoladamente dados de tráfego de cada um desses – sua porta de origem – é um fator-chave na escolha de um fornecedor.
O Marco Civil da Internet, de 2014, determina, em seu artigo 13, que provedores de acesso devem armazenar os registros de conexão de seus clientes, sob sigilo, em ambiente controlado e de segurança, por um ano. O descumprimento implica em penalidades que vão, conforme a gravidade do ato investigado, de uma simples advertência a multa de 10% do último faturamento líquido anual e proibição de exercício das atividades (artigo 12). Além disso, o Ministério Público Federal classifica, desde 2015, como imprescindível a guarda do registro do campo “porta” por Provedores de Conexão à Internet e Provedores de Aplicação.
Os ISPs respondem há anos pela expansão do acesso à Internet de banda larga no país. Juntamente com a relevância social dessas empresas, cresce a necessidade de sua profissionalização, o que passa pela garantia da proteção de seus clientes e devida observância à legislação que rege suas atividades.
(*) Marielen Cristiane Estevo é advogada integrante do Departamento Jurídico da VianaTel, empresa especializada em regularização de provedores de Internet