As empresas provedoras de acesso à internet devem fornecer, a partir do endereço IP, os dados cadastrais de usuários que cometam atos ilícitos pela rede, mesmo que os fatos tenham ocorrido antes da entrada em vigor do Marco Civil da Internet (Lei 12.965/14).
A decisão unânime foi da Terceira Turma do Superior Tribunal de Justiça (STJ) em recurso interposto por uma provedora de acesso contra acórdão do Tribunal de Justiça de São Paulo (TJSP).
A corte paulista determinou que a empresa fornecesse os dados de um usuário que se utilizou da internet para prática de ato ilícito, pois considerou que os provedores de acesso têm o dever de possibilitar pelo menos a identificação do ofensor através de dados de conexão e registro utilizados, providência que “é inerente ao risco do próprio negócio desenvolvido”.
Phishing
Conforme os autos, o internauta utilizou a marca de uma conhecida empresa de informática para fazer ataque cibernético conhecido como phishing scam, enviando mensagens de e-mail e induzindo os destinatários a clicar em um link. Após o clique, era implantado no computador um programa capaz de captar dados cadastrais da vítima.
A empresa de informática conseguiu identificar o IP de onde os ataques haviam partido e verificou a qual provedora de acesso pertencia. Então, ajuizou ação pedindo o fornecimento dos dados do usuário. A sentença acolheu o pedido e fixou multa diária de R$ 1 mil para o caso de descumprimento.
No STJ, a provedora de acesso alegou que era impossível fornecer tais dados, já que o IP seria dinâmico, ou seja, o usuário receberia um número de IP diferente a cada conexão. Além disso, não haveria à época norma que obrigasse as empresas de serviço de acesso a armazenar dados cadastrais de usuários, sendo descabida a multa diária.
O relator do caso, ministro Paulo de Tarso Sanseverino, explicou que os fatos discutidos no recurso são antigos, quando vigente o Código de Processo Civil de 1973. Também não havia sido publicada a Lei 12.965/14.
O ministro lembrou que, apesar da existência de divergência doutrinária àquela época, o STJ “firmou entendimento de que as empresas de internet, como as demais empresas, estariam sujeitas a um dever legal de escrituração e registro de suas atividades durante o prazo prescricional de eventual ação de reparação civil, dever que tem origem no artigo 10 do Código Comercial de 1850, e atualmente encontra-se previsto no artigo 1.194 do Código Civil”.
Vedação ao anonimato
De acordo com o ministro, conjugando esse dever de escrituração e registro com a vedação constitucional ao anonimato, “chegou-se ao entendimento de que os provedores de acesso teriam o dever de armazenar dados suficientes para a identificação do usuário”.
Além disso, o ministro citou que o Comitê Gestor da Internet no Brasil já recomendava, desde aquela época, que “os provedores de acesso devem passar a manter, por um prazo mínimo de três anos, os dados de conexão e comunicação realizadas por seus equipamentos (identificação do endereço de IP, data e hora de início e término da conexão e origem da chamada)”.
Com relação à afirmação da provedora de acesso sobre a impossibilidade de fornecimento das informações em razão de o IP ser dinâmico, ou de dificuldades de armazenamento de dados, Sanseverino afirmou que o tribunal paulista superou essa questão com o fundamento de que esta seria “providência inerente ao risco do próprio negócio”.