Informação das portas lógicas de origem

Em sede de Agravo de Instrumento 2150710-76.2015.8.26.0000, também da 3ª Câmara de Direito Privado do TJSP e julgado em 31/08/2015, o entendimento foi no mesmo sentido. Ementa:
 

INTERNET. AÇÃO DE OBRIGAÇÃO DE FAZER. Comercialização ilícita de plano de serviços de operadora de telefonia celular. Tutela antecipada concedida em agravo de instrumento determinando a remoção da internet dos anúncios ilícitos dos sites da agravante e das interessadas e o fornecimento dos dados cadastrais e registros eletrônicos que permitam a identificação dos fraudadores. Preliminares de suspensão do recurso, não conhecimento, preclusão e conversão em agravo retido afastadas. Decisão recorrida que determina que a agravante forneça os dados das "portas lógicas" utilizadas para o acesso à internet. Google. Provedora de aplicação de internet. Obrigatoriedade de coleta e armazenamento de “informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP” (arts. 5º, VIII e 15 da Lei nº 12.965/14 Marco Civil da Internet). Dados já fornecidos. Não obrigatoriedade de coleta e armazenamento dos dados das portas lógicas utilizadas nos acessos à internet. Informação própria do provedor de conexão. Esgotamento dos endereços IP no protocolo IPv4 que, no entanto, não justifica a imposição de obrigação não prevista em lei. AGRAVO PROVIDO.

De acordo com o relator, desembargador Alexandre Marcondes (grifo nosso):
 

A agravante realmente não está obrigada por lei ao fornecimento dos dados da “porta lógica” de acesso à internet. Como provedora de aplicação, o Marco Civil da Internet (Lei nº 12.965/14) lhe impõe a obrigação de armazenar os registros de acesso a aplicações de internet, consistentes do “conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP” (artigos 5º, VIII e 15).

"(...) não há norma legal que imponha à agravante a obrigação de coletar e armazenar os dados da porta lógica utilizada para o acesso à internet, informações estas próprias dos provedores de conexão".

Por tramitarem em segredo de justiça, não foi possível obter acesso a todas as íntegras, nem acesso ao trâmite em primeiro grau.

Primeiro, vejamos o que é IP, ou Internet Protocol, ou Protocolo Internet. Segundo a definição legal do art. 5º, III do Marco Civil da Internet, Lei nº 12.965/14, consiste em:
 

III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais;
 

Já as "portas lógicas de origem" ou simplesmente "portas lógicas" não são definidas ou encontram previsão legal no Marco Civil, por isto estão gerando discussões no âmbito jurídico pela necessidade ou não de seu armazenamento, seja pelos provedores de conexão, seja pelos provedores de aplicações.

Em busca dos tais "padrões internacionais" sobre o Protocolo Internet (IP), chegamos ao Relatório Final de Atividades do GT-IPv6 (Grupo de Trabalho para implantação do protocolo IP - Versão 6 nas redes das Prestadoras de Serviços de Telecomunicações), de dezembro de 2014 e disponível no site da Anatel, que esclarece na pág. 14 sobre as portas lógicas:

Tanto no Grupo de Trabalho do NIC.br como no Grupo de Trabalho da Anatel foi intensamente discutida a questão da identificação unívoca de um determinado usuário que faz uso de um endereço IP compartilhado. Em ambos os Grupos de Trabalho foi consenso que a única forma das prestadoras fornecerem o nome do usuário que faz uso de um IP compartilhado em um determinado instante seria com a informação da “porta lógica de origem da conexão” que estava sendo utilizada durante a conexão. Dessa forma, os provedores de aplicação devem fornecer não somente o IP de origem utilizado para usufruto do serviço que ele presta, mas também a “porta lógica de origem”.
 

Em uma Conexão à Internet, para cada sessão aberta pelo usuário, é utilizada uma “porta lógica” para sua comunicação com outras redes e equipamentos. Assim, mesmo quando dois usuários fazem o uso compartilhado de um mesmo IPv4, eles usarão portas distintas para a sua comunicação.
 

Será com base na informação da “porta lógica de origem” que as identificações judiciais para fins de quebra de sigilo e interceptação legal continuarão sendo possíveis de serem realizadas de forma unívoca. Portanto, torna-se necessário que na solicitação de quebra de sigilo seja informada, além dos atributos atuais (endereço IP de origem, data, hora e fuso da conexão), a porta de origem da comunicação.

A adoção do protocolo IPv6 - já em curso (atualmente em 13%), porém morosa - mostra-se a solução técnica mais eficaz: pela abundância de endereços poderá ser oferecido um número identificador único a cada conexão ou acesso - com exacerbação na chamada Internet das Coisas (IoT) e potenciais implicações ao direito à privacidade, que serão tema de futuro comentário.

Porém, notável que ainda estamos na fase de transição, e segundo consta o IPv4 (e não haverá v5) já está praticamente esgotado. Isso explicaria a necessidade de "portas lógicas" como se "gambiarras" fossem, permitindo que mais de um terminal possa se conectar sob um mesmo endereço IP (v4), ou seja, um "IP compartilhado".

Na esteira do entendimento da 3ª Câmara de Direito Privado do TJSP, deve de fato o provedor de conexão armazenar informações sobre a porta lógica de origem, isentando-se o provedor de aplicações da mesma obrigação?

Vejamos o disposto no inciso VI do art. 5º da Lei nº 12.965/14, Marco Civil da Internet (grifamos):
 

"VI - registro de conexão: conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados"; e
 

"VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP."

Em que pese, por exemplo, a adoção temporária da "técnica de tradução" NAT - Carrier Grade NAT (CGN), NAT44 ou Large Scale NAT (LSN) - vide RFC 6264 - neste momento de transição do IPv4 para o IPv6 existem pelo menos dois caminhos:

- pela desnecessidade: a identificação da conexão ou acesso já é possível com a numeração IP, data e hora (pois é pouco provável que dois indivíduos iriam conectar e desconectar exatamente na mesma hora, minuto e segundo), e além disso não há norma legal estrita que imponha a obrigação de coleta e armazenamento de "portas lógicas", a teor do disposto no inciso VIII (e a contrario sensu, mesmo do VI) do art. 5º do MCI, e em que pese o disposto no § 1º do art. 10; ou

- pela necessidade: o armazenamento (e consequente fornecimento, mediante ordem judicial) das "portas lógicas" resulta em identificação unívoca para fins do 5º, III - com a ressalva de identificar um "terminal de uma rede"; e a porta lógica por sua vez comporia, faria parte do "conjunto de informações" previsto no 5º, VI e VIII, justificando assim uma desejada vinculação interpretativa ao endereçamento IPv4 compartilhado.

Em ambas as decisões do TJSP aqui noticiadas, as partes na qualidade de provedoras de aplicações deram ensejo aos Agravos de Instrumento e foram isentadas (em cognição sumária, a decisão ainda não é definitiva) da necessidade de coleta, armazenamento e eventual fornecimento de informações sobre portas lógicas em sede judicial. Ficou entendido pela Câmara que tal obrigação caberia tão somente aos provedores de conexão.

Além disso, até onde se sabe, os registros padrão de acesso a aplicações de internet não armazenam informações sobre portas de origem. Caso sejam instados a fazê-lo, e segundo fomos informados por especialistas da área, isso implicaria até em mudança dos atuais padrões de logs dos servidores de aplicações.

Lembrando novamente que o endereçamento IP serve, segundo definição no MCI, para identificar "um terminal de uma rede" (ou no caso do IoT, dispositivos conectados a uma rede pública ou privada), e não necessariamente indivíduos ou pessoas pré-determinadas.

Atualização (10/09/15):

Em audiência pública da CPI dos Crimes Cibernéticos na Câmara dos Deputados, a procuradora da República no Rio de Janeiro Neide de Oliveira alertou sobre as dificuldades técnicas de identificação de computadores, durante a investigação de crimes como a pornografia infantil, por exemplo.
 

"Desde janeiro, as pessoas estão partilhando o mesmo IP naquele mesmo minuto em que faz acesso a determinada página. E isso tem implicações criminais, por atrapalhar a investigação criminal; e a implicação de consumidor, porque eu mesma, por exemplo, não quero ser objeto de uma investigação criminal já que não fiz absolutamente nada, só porque o Brasil não tem um sistema de identificação unívoca de IP", disse a procuradora.

"(...) O marco civil da internet obriga os provedores a guardar apenas os dados de IP, data, hora e localização dos acessos. A procuradora informou que será buscado um termo de ajustamento de conduta (TAC) com os provedores de conteúdo estrangeiros. Se a iniciativa fracassar, o próximo passo será uma ação civil pública na Justiça a fim de obrigá-los a guardar e disponibilizar as informações da porta de origem."