As empresas provedoras de acesso à internet devem fornecer, a partir do endereço IP, os dados cadastrais de
usuários que cometam atos ilícitos pela rede, mesmo que os fatos tenham ocorrido antes da entrada em vigor do
Marco Civil da Internet (Lei 12.965/14).
A decisão unânime foi da Terceira Turma em recurso interposto por uma provedora de acesso contra acórdão do
Tribunal de Justiça de São Paulo.
A corte paulista determinou que a empresa fornecesse os dados de um usuário que se utilizou da internet para
prática de ato ilícito, pois considerou que os provedores de acesso têm o dever de possibilitar pelo menos a
identificação do ofensor através de dados de conexão e registro utilizados, providência que “é inerente ao risco do
próprio negócio desenvolvido”.
Phishing
Conforme os autos, o internauta utilizou a marca de uma conhecida empresa de informática para fazer ataque
cibernético conhecido como phishing scam, enviando mensagens de e-mail e induzindo os destinatários a clicar
em um link. Após o clique, era implantado no computador um programa capaz de captar dados cadastrais da
vítima.
A empresa de informática conseguiu identificar o IP de onde os ataques haviam partido e verificou a qual
provedora de acesso pertencia. Então, ajuizou ação pedindo o fornecimento dos dados do usuário. A sentença
acolheu o pedido e fixou multa diária de R$ 1 mil para o caso de descumprimento.
No STJ, a provedora de acesso alegou que era impossível fornecer tais dados, já que o IP seria dinâmico, ou
seja, o usuário receberia um número de IP diferente a cada conexão. Além disso, não haveria à época norma que
obrigasse as empresas de serviço de acesso a armazenar dados cadastrais de usuários, sendo descabida a
multa diária.
O relator do caso, ministro Paulo de Tarso Sanseverino, explicou que os fatos discutidos no recurso são antigos,
quando vigente o Código de Processo Civil de 1973. Também não havia sido publicada a Lei 12.965/14.
O ministro lembrou que, apesar da existência de divergência doutrinária àquela época, o STJ “firmou
entendimento de que as empresas de internet, como as demais empresas, estariam sujeitas a um dever legal de
escrituração e registro de suas atividades durante o prazo prescricional de eventual ação de reparação civil, dever
que tem origem no artigo 10 do Código Comercial de 1850, e atualmente encontra-se previsto no artigo 1.194 do
Código Civil”.
Vedação ao anonimato
De acordo com o ministro, conjugando esse dever de escrituração e registro com a vedação constitucional ao
anonimato, “chegou-se ao entendimento de que os provedores de acesso teriam o dever de armazenar dados
suficientes para a identificação do usuário”.
Além disso, o ministro citou que o Comitê Gestor da Internet no Brasil já recomendava, desde aquela época, que
“os provedores de acesso devem passar a manter, por um prazo mínimo de três anos, os dados de conexão e
comunicação realizadas por seus equipamentos (identificação do endereço de IP, data e hora de início e término
da conexão e origem da chamada)”.
Com relação à afirmação da provedora de acesso sobre a impossibilidade de fornecimento das informações em
razão de o IP ser dinâmico, ou de dificuldades de armazenamento de dados, Sanseverino afirmou que o tribunal
paulista superou essa questão com o fundamento de que esta seria “providência inerente ao risco do próprio
negócio”.
Nenhum comentário:
Postar um comentário