As empresas provedoras de acesso à internet devem fornecer, a partir do endereço IP, os dados cadastrais de usuários que cometam atos ilícitos pela rede. O fornecimento tem de acontecer mesmo que os fatos tenham ocorrido antes da entrada em vigor do Marco Civil da Internet (Lei 12.965/14).
A decisão unânime foi da Terceira Turma do Superior Tribunal de Justiça (STJ) em recurso interposto por uma provedora de acesso contra acórdão do Tribunal de Justiça de São Paulo (TJSP).
A corte paulista determinou que a empresa fornecesse os dados de um usuário que se utilizou da internet para prática de ato ilícito. Considerou que os provedores de acesso têm o dever de possibilitar pelo menos a identificação do ofensor através de dados de conexão e registro utilizados, providência que “é inerente ao risco do próprio negócio desenvolvido”.
Ataque cibernético
Conforme os autos, o internauta usou a marca de uma empresa de informática para fazer ataque cibernético conhecido como phishing scam, enviando mensagens de e-mail e induzindo os destinatários a clicar em um link. Após o clique, era implantado no computador um programa capaz de captar dados cadastrais da vítima.
A empresa de informática conseguiu identificar o IP de onde os ataques haviam partido e verificou a qual provedora de acesso pertencia. Então, ajuizou ação pedindo o fornecimento dos dados do usuário. A sentença acolheu o pedido e fixou multa diária de R$ 1 mil para o caso de descumprimento.
No STJ, a provedora de acesso alegou que era impossível fornecer tais dados, já que o IP seria dinâmico, ou seja, o usuário receberia um número de IP diferente a cada conexão. Além disso, não haveria à época norma que obrigasse as empresas de serviço de acesso a armazenar dados cadastrais de usuários, sendo descabida a multa diária.
O relator do caso, ministro Paulo de Tarso Sanseverino, explicou que os fatos discutidos no recurso são antigos, quando vigente o Código de Processo Civil de 1973. Também não havia sido publicada a Lei 12.965/14.
O ministro lembrou que, apesar da existência de divergência doutrinária àquela época, o STJ “firmou entendimento de que as empresas de internet, como as demais empresas, estariam sujeitas a um dever legal de escrituração e registro de suas atividades durante o prazo prescricional de eventual ação de reparação civil, dever que tem origem no artigo 10 do Código Comercial de 1850, e atualmente encontra-se previsto no artigo 1.194 do Código Civil”.
Anonimato, não
De acordo com o ministro, conjugando esse dever de escrituração e registro com a vedação constitucional ao anonimato, “chegou-se ao entendimento de que os provedores de acesso teriam o dever de armazenar dados suficientes para a identificação do usuário”.
Além disso, o ministro citou que o Comitê Gestor da Internet no Brasil já recomendava, desde aquela época, que “os provedores de acesso devem passar a manter, por um prazo mínimo de três anos, os dados de conexão e comunicação realizadas por seus equipamentos (identificação do endereço de IP, data e hora de início e término da conexão e origem da chamada)”.
Com relação à afirmação da provedora de acesso sobre a impossibilidade de fornecimento das informações em razão de o IP ser dinâmico, ou de dificuldades de armazenamento de dados, Sanseverino afirmou que o tribunal paulista superou essa questão com o fundamento de que esta seria “providência inerente ao risco do próprio negócio”.
Fonte: Telesíntese