O fornecimento de Registros Eletrônicos dos Usuários e a Responsabilidade Civil do Provedor

Por Leonardo Sampaio Pangardi

 

Ao pensar em responsabilização civil, de maneira quase que automática vem à cabeça a reparação de um dano.

Referida reflexão vai de encontro ao entendimento consolidado pelo ordenamento jurídico brasileiro, bastando observar as disposições relacionadas ao tema trazidas pelo Código Civil de 2002.

Partindo desta premissa, o presente artigo busca, de forma sucinta, explicar o conceito de provedor de aplicação e as hipóteses em que o provedor de aplicação deverá ser responsabilizado civilmente pelo inadequado armazenamento de registros eletrônicos.

Para que seja possível adentrar a questão de responsabilização civil dos provedores de internet, se faz necessária a fixação do conceito de provedor de aplicação, apresentando alguns de seus aspectos técnicos.

De acordo com os ensinamentos de Marcel Leonardi[1], a regulação da Internet é simplificada, reduzindo os modelos de redes OSI e TCP/IP em três camadas, para fins regulatórios.

O Protocolo TCP/IP (Transmission Control Protocol/Internet Protocol) nada mais é do que um tipo de linguagem elaborada para possibilitar a comunicação entre diferentes computadores ligados à internet, importante ressaltar que não se trata de apenas um protocolo, mas de um conjunto de protocolos.

Entende-se como TCP/IP um conjunto de protocolos divididos em quatro camadas autônomas, quais sejam:

  1. Camada de Aplicação: onde há o recebimento de informações;
  2. Camada de Transporte: responsável pela verificação de integridade dos dados enviados pelo grupo anterior e pela sua fragmentação em pacotes;
  • Camada de Rede: responsável por anexar os dados ao IP dos computadores remetente e destinatário, para que todos os pacotes trafeguem na internet com local de partida e destino certos e não se percam na rede;
  1. Camada de Interface: incumbida de enviar os pacotes na rede.

Para que fique mais claro, durante o envio de um documento A, da máquina Y para a máquina Z, ficará a cargo do Protocolo TCP/IP a transmissão, deste modo: inicialmente, a Camada de Aplicação receberá o documento que se pretende enviar e passará à Camada de Transporte, onde será verificada sua integridade e será “quebrado” em N pedaços. A Camada de Rede, então, ficará responsável por anexar a cada um desses pedaços os endereços IP dos computadores remetente e destinatário, para que todos eles saibam o destino de ida e volta. Por fim, a Camada de Interface se encarregará do envio de cada pedaço na rede, para que percorram seu caminho até o dispositivo destinatário.

Em síntese, pode ser dito que a camada de aplicação é aquela em que são utilizados protocolos para o fornecimento de serviços diretos aos usuários.

Utilizando referidos conceitos técnicos como base, Marcel Leonardi[2] evidencia a necessidade de regulação da Internet baseada nas camadas sobre as quais são construídos os sistemas de comunicação: física, lógica e de conteúdo:

“A Internet e igualmente estruturada por essas três camadas a camada física e composta pelos equipamentos informáticos a ela integrados e pelos meios físicos que os interconectam; a camada logica, ou camada de “código”, são as inúmeras linguagens que tornam possível a transmissão de dados entre os equipamentos informáticos, tais como sistemas operacionais, programas de computador, protocolos e linguagens de programação compartilhadas entre eles; e a camada de conteúdo corresponde aos dados transmitidos por meio das camadas física e logica, ou seja, as informações, textos, musicas, fotografias, filmes e demais manifestações do pensamento humano”.

No mesmo sentido, o entendimento do Professor Ronaldo Lemos[3]:

“A estrutura física da internet é constituída pelo conjunto de computadores que a compõem e pelos meios físicos que os interconectam, como fibras óticas, linhas telefônicas, ondas de rádio etc.

A estrutura lógica da internet ou o seu “código” são as inúmeras linguagens que fazem com que as partes físicas possam comunicar-se entre si. Nesta camada, estão incluídos não só os programas de computador, como também protocolos e linguagens compartilhadas entre eles (como o protocolo TCP/IP, base da internet). Aqui se incluem também os sistemas operacionais, como o sistema Microsoft Windows ou o Linux.

A estrutura de conteúdo corresponde a tudo aquilo que é transmitido sobre as camadas física e lógica, como um texto, um e-mail, uma música, um filme, uma mensagem, uma fotografia etc”

Com base nestes conceitos técnicos clássicos foi possível conceituar tipos de provedores, de acordo com sua função, sendo hoje em dia definidos da seguinte maneira, com base nos ensinamento de Marcel Leonardi[4]:

“Provedor de serviços de Internet é o gênero do qual as demais categorias (provedor de backbone, provedor de acesso, provedor de correio eletrônico, provedor de hospedagem e provedor de conteúdo) são espécies. Como visto, o provedor de backbone, ou infraestrutura, é a pessoa jurídica que efetivamente detém as estruturas de rede capazes de manipular grandes volumes de informações, constituídas, basicamente, por roteadores de tráfego interligados por circuitos de alta velocidade.

O provedor de acesso é a pessoa jurídica fornecedora de serviços que consistem em possibilitar o acesso de seus consumidores à Internet.

O provedor de correio eletrônico é a pessoa jurídica fornecedora de serviços que consistem em possibilitar o envio de mensagens do usuário a seus destinatários, armazenar as mensagens enviadas a seu endereço eletrônico até o limite de espaço disponibilizado no disco rígido de acesso remoto e permitir somente ao contratante do serviço o acesso ao sistema e às mensagens, mediante o uso de um nome de usuário e senha exclusivos.

O provedor de hospedagem é a pessoa jurídica fornecedora de serviços que consistem em possibilitar o armazenamento de dados em servidores próprios de acesso remoto, permitindo o acesso de terceiros a esses dados, de acordo com as condições estabelecidas com o contratante do serviço.

O provedor de conteúdo é toda pessoa natural ou jurídica que disponibiliza na Internet as informações criadas ou desenvolvidas por si própria ou por terceiros.”

Referidos conceitos foram utilizados pelo Superior Tribunal de Justiça, em decisão paradigmática, alterando o sistema de responsabilização civil de intermediários de serviços relacionados a Internet no Brasil, considerando que anteriormente doutrina e jurisprudência utilizavam classificação diversa, partindo da premissa de que provedor de serviço de internet seria gênero englobando espécies, tais como provedor de backbone, de acesso, de hospedagem, de informação e de conteúdo.

“Os provedores de serviços de Internet são aqueles que fornecem serviços ligados ao funcionamento dessa rede mundial de computadores, ou por meio dela. Trata­se de gênero do qual são espécies as demais categorias, como: (i) provedores de backbone (espinha dorsal), que detêm estrutura de rede capaz de processar grandes volumes de informação. São os responsáveis pela conectividade da Internet, oferecendo sua infraestrutura a terceiros, que repassam aos usuários finais acesso à rede; (ii) provedores de acesso, que adquirem a infraestrutura dos provedores backbone e revendem aos usuários finais, possibilitando a estes conexão com a Internet; (iii) provedores de hospedagem, que armazenam dados de terceiros, conferindo­lhes acesso remoto; (iv) provedores de informação, que produzem as informações divulgadas na Internet; e (v) provedores de conteúdo, que disponibilizam na rede os dados criados ou desenvolvidos pelos provedores de informação ou pelos próprios usuários da web” (STJ, Terceira Turma, REsp. nº 1.308.830, j.: 19/06/2012; STJ, Terceira Turma, REsp nº 1.316.921, j.: 26/06/2012).

Com o advento do Marco Civil da Internet, Lei nº. 12.965, em vigência desde agosto de 2014, foram estabelecidos princípios, garantias, direitos e deveres para o uso da Internet no Brasil, determinando ainda as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria[5].

Ademais, referida legislação pioneira, definiu diversos conceitos técnicos relevantes, ressaltando que para este estudo o mais relevante é o de “aplicação de internet”, disposto como o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à Internet[6]. Utilizando como base este conceito, todas as empresas que se enquadrem em referida disposição legal passaram a ter responsabilidades atribuídas por lei.

Dentre elas, foi expressamente atribuída a reponsabilidade civil dos provedores de aplicações de internet em hipóteses específicas, nas quais atos dos usuários das aplicações geram danos a terceiros, sendo o provedor das aplicações civilmente responsável caso (i) descumpra ordem judicial que determinou a remoção de determinado conteúdo; (ii) não atenda à notificação extrajudicial que requereu a indisponibilização de conteúdo privado, contendo nudez ou cenas de atos sexuais, cuja publicação não fora autorizada; e (iii) desrespeite direitos autorais.

Apesar de algumas críticas baseadas na “judicialização” do procedimento – por haver certa aplicação jurisprudencial em relação ao poder compulsório das notificações extrajudiciais – as determinações legais parecem acertadas.

Isto porque cuidam de limitar ao Poder Judiciário a análise do conteúdo que realmente deve ser reprimido em razão de sua ilicitude. Ao mesmo tempo que criam duas exceções, de maneira novamente acertada (quase que lógicas à luz do bom senso): desrespeito aos direitos autorais e divulgação não autorizada de conteúdo de nudez e sexo de caráter privado, contestada pelo próprio divulgador ou participante do conteúdo.

Nesse ponto, são pertinentes a determinações trazidas pelo Marco Civil da Internet visto que, imaginando um cenário onde a mera notificação extrajudicial pudesse gerar a obrigação de supressão de conteúdo para o provedor de aplicações de internet, então este seria responsabilizado civilmente pelos danos causados em eventual descumprimento à notificação. O que, em suma, resultaria em uma verdadeira imposição de valores subjetivos de cada usuário sobre os conteúdos disponibilizados.

A exemplo de elucidações feitas pelos professores Carlos Affonso Souza e Chiara Spadaccini de Teffé:[7]

“Com receio de ser processado e condenado por conteúdos dos seus usuários caso não os removesse após uma simples notificação particular, os provedores naturalmente eliminariam tudo aquilo que fosse objeto de notificação. É fácil perceber como esse regime de responsabilização, evitado pelo Marco Civil, poderia ser abusado. Avaliações negativas de hotéis, restaurantes e empresas das mais diversas não resistiriam por muito tempo. Bastaria à empresa atingida notificar os provedores alegando que aquele comentário lhe causa algum dano”.

Para além das hipóteses trazidas acima, a Lei nº 12.965/2014 atribui aos provedores de aplicações de internet o dever básico de guardar os registros eletrônicos (IP, data e hora[8]) de acesso às aplicações, em sigilo, em ambiente controlado, e de segurança, pelo período mínimo de 06 (seis) meses, nos termos do art. 15[9], no caso de tratar-se de autoridade policial ou administrativa e o Ministério Público requisitando os registros o prazo poderá ser superior[10] ao estabelecido no caput.

Ainda que não determinada expressamente a responsabilidade civil pelo descumprimento da obrigação de armazenamento dos registros, a interpretação da lei diante de outros dispositivos do ordenamento jurídico brasileiro, das aplicações práticas e dos fatos específicos de cada caso concreto, há que se concluir pela possibilidade de responsabilização civil do provedor que não observa este dever.

A importância dada à guarda destes dados é inerente à necessidade dos mesmos para identificação dos usuários da Internet, de modo que sem referidos dados não é possível identificar o autor de um crime cibernético, por exemplo.

Diante disto, foram impostos critérios para a entrega dos registros a terceiros, determinando a necessidade de prévia autorização judicial[11], com vistas ao direito de privacidade dos usuários em relação aos dados pessoais e teor do conteúdo dos registros.

Significa dizer que toda e qualquer pessoa jurídica mantenedora de site ou aplicativo na Internet acessíveis a usuários da rede, com finalidade econômica, mesmo que visando lucro indireto, tem o dever de guardar o endereço IP, data e horário dos acessos dos usuários à aplicação, estando obrigada a fornecê-los mediante ordem judicial.

Ocorre que nem sempre os provedores de aplicação dispõem de condições de armazenar e informar os registros eletrônicos de seus usuários, de modo que a omissão no fornecimento dos dados, ao corroborar com a perpetuação de um ilícito, configura a responsabilização civil do provedor, vez que se enquadra nas condutas previstas pelos artigos 186 e 927 do Código Civil.

É este o entendimento consolidado pela jurisprudência:

CIVIL E CONSUMIDOR. INTERNET. PROVEDOR DE CONTEÚDO. USUÁRIOS. IDENTIFICAÇÃO. DEVER. GUARDA DOS DADOS. OBRIGAÇÃO. PRAZO. DISPOSITIVOS LEGAIS ANALISADOS: ARTS. 4º, III, DO CDC; 206, § 3º, V, 248, 422 e 1.194 DO CC/02; E 14 E 461, § 1º DO CPC. 1. Ação ajuizada em 30.07.2009. Recurso especial concluso ao gabinete da Relatora em 04.11.2013. 2. Recurso especial que discute os limites da responsabilidade dos provedores de hospedagem de blogs pela manutenção de dados de seus usuários. 3. Ao oferecer um serviço por meio do qual se possibilita que os usuários divulguem livremente suas opiniões, deve o provedor de conteúdo ter o cuidado de propiciar meios para que se possa identificar cada um desses usuários, coibindo o anonimato e atribuindo a cada imagem uma autoria certa e determinada. Sob a ótica da diligência média que se espera do provedor, do dever de informação e do princípio da transparência, deve este adotar as providências que, conforme as circunstâncias específicas de cada caso, estiverem ao seu alcance para a individualização dos usuários do site, sob pena de responsabilização subjetiva por culpa in omittendo. Precedentes. 4. Uma vez ciente do ajuizamento da ação e da pretensão nela contida – de obtenção dos dados de um determinado usuário – estando a questão sub judice, o mínimo de bom senso e prudência sugerem a iniciativa do provedor de conteúdo no sentido de evitar que essas informações se percam. Essa providência é condizente com a boa-fé que se espera não apenas dos fornecedores e contratantes em geral, mas também da parte de um processo judicial, nos termos dos arts. 4º, III, do CDC, 422 do CC/02 e 14 do CPC. 5. As informações necessárias à identificação do usuário devem ser armazenadas pelo provedor de conteúdo por um prazo mínimo de 03 anos, a contar do dia em que o usuário cancela o serviço. 6. Recurso especial a que se nega provimento. (Recurso Especial Nº 1.417.641, Relator: Ministra Nancy Andrighi, Data de Julgamento: 25.02.2014, Terceira Turma).

Aliás, muito além do descumprimento do dever legal, a omissão dos registros de acesso dos usuários pelos provedores de aplicações de internet fere a garantia constitucional de vedação ao anonimato[12].

Explica-se: cometido ato ilícito por usuário de aplicação de internet, é necessária sua identificação para que repare os danos causados. Referida identificação na maioria das vezes só será possível mediante o fornecimento dos registros eletrônicos pelo provedor da aplicação de internet e posteriormente o cruzamento destas informações com as dos provedores de conexão. Por este motivo é que a lei lhes imputa o dever de guarda dos registros de conexão.

Ainda, pelo mesmo motivo é que deve ser civilmente responsabilizado o provedor que não os guardou, visto que a omissão do provedor na guarda e fornecimento dos registros eletrônicos perpetua o anonimato daquele que cometeu a ilicitude.

Neste momento cabe trazer à tona novamente os ensinamentos de Marcel Leonardi[13]:

“Devem os provedores de serviços utilizar meios tecnológicos e equipamentos informáticos que possibilitem a identificação dos dados de conexão dos usuários, para que tais informações sejam disponibilizadas a quem de direito em caso de ato ilícito, pois nem sempre os dados cadastrais contendo os nomes, endereços e demais dados pessoais dos usuários estarão corretos ou atualizados.

Se os provedores de serviço não preservarem os dados técnicos de conexões e acessos e os dados cadastrais dos usuários, inviabilizando, inclusive por outros meios, a identificação ou localização dos responsáveis por atos ilícitos, sujeitam-se a responder solidariamente pelo ato ilícito cometido por terceiro que não puder ser identificado ou localizado em razão desta conduta omissiva.”

Isto é, se os provedores não estão aptos a fornecer os registros dos acessos dos usuários às aplicações e com isso interferem na efetivação da vedação ao anonimato prevista constitucionalmente, impossibilitando a reparação de danos causados a terceiros, então auxiliam na perpetuação de atos ilicitos em que não haverá responsabilização. É evidente que não se pode perpetuar a impunidade.

Considerando o crescente descumprimento do dever de fornecimento dos registros eletrônicos – e a consequente dificuldade na responsabilização dos usuários pelos danos decorrentes dos atos ilícitos praticados – deu-se início a reflexão: se aquele que deve fornecer as informações necessárias para identificação dos usuários, neste caso o provedor de aplicação, deixou de cumprir sua obrigação de guardar ou fornecer os dados, não poderia este ser responsabilizado pelo dano?

Diversas discussões jurídicas sobre o tema se deram, de modo que a conclusão que se chegou foi à possibilidade de conversão das ações que requeriam a apresentação dos registros para identificação do usuário que cometeu a ilicitude, em ações de perdas e danos, ou seja, juridicamente a conclusão que se chegou foi de que é possível responsabilizar os provedores de aplicação pelos danos causados por seus usuários, desde que descumpram seu dever legal de guardar e fornencer os registros de acesso necessários para identificação dos usuários.

Neste sentido, é o entendimento do Egrégio Tribunal de Justiça do Estado de São Paulo, pela possibilidade de conversão de ações requerendo os registros de acesso em perdas e danos:

AGRAVO DE INSTRUMENTO – Tutela antecipada – Ação de obrigação de fazer – Mensagens ameaçadoras enviadas via e-mail – Decisão que deferiu a liminar para que a Microsoft Informática Ltda. forneça dados cadastrais de usuário do IP objeto da lide – Possibilidade de a agravante responder pela sua sócia majoritária, por ser representante legal da Microsoft Corporation no Brasil – Inocorrência de violação à proteção constitucional ao sigilo de comunicações – Requisitos para concessão da medida que se encontram presentes – Decisão mantida – Recurso desprovido.

(TJSP Agravo de Instrumento nº. 0151685-74.2011.8.26.0000. Relator Des. Maurício Ferreira Leite. 21ª Câmara de Direito Privado. Julgado em 10.08.2011)

AGRAVO DE INSTRUMENTO Ação de obrigação de fazer – Decisão que manteve a antecipação de tutela que determinava a apresentação dos dados requeridos pelos autores – Pretensão de obter dados cadastrais de usuário da internet que não afronta proteção ao sigilo das comunicações – Mensagens ameaçadoras que justificam a pretensão de obtenção de dados, visando a identificação dos responsáveis – Agravo desprovido.

(TJSP Agravo de Instrumento nº. 0137775-77.2011.8.26.0000. Relatora Des. Viviani Nicolau. 9ª Câmara de Direito Privado. Julgado em 13.03.2012)

AÇÃO COMINATÓRIA. Obrigação imposta a Telemar Norte Leste S/A, para que forneça os dados cadastrais de usuários responsáveis pelos comentários de cunho ofensivo à pessoa da autora. Ré que detém capacidade técnica para tanto. Divulgação dos dados dos usuários que não caracteriza quebra de sigilo das comunicações, porquanto o conteúdo ofensivo já estava disponível da rede. Jurisprudência do STJ. Fixação de astreintes pela resistência de cumprimento, o que denota a manutenção da sucumbência, pelo princípio da causalidade. Conversão da obrigação em perdas e danos em caso de não cumprimento. Recurso da autora provido em parte e da ré desprovido.

(TJSP Apelação nº. 0254708-66.2007.8.26.0100. Relator Des. Teixeira Leite. 4ª Câmara de Direito Privado. Julgado em 18.04.2013)

Deste modo, é possível concluir que o Egrégio Tribunal de Justiça do Estado de São Paulo entendeu que o recorrente descumprimento – por parte dos provedores de aplicações – do dever legal de guarda dos registros eletrônicos estava impedindo a reparação de danos causados por atos ilícitos praticados por maus usuários destas aplicaçãoes. Houve então solução prática da questão, autorizando a conversão das ações e determinando a responsabilização dos provedores.

Dizendo de outra maneira, antes da aplicação deste entendimento, aquele que sofria o dano se via sem possibilidades de reparação, vez que não conseguia identificar o usuário responsável, ausentes os registros eletrônicos que possibilitariam esta identificação. Sendo assim, se o provedor de aplicação que seria responsável pelas informações que podem auxiliar na identificação do responsável pelo dano não forneceu estas informações, este é quem responde pelo dano causado por seu usário.

Significa dizer que, atualmente, a responsabilidade civil dos provedores de aplicação pelos atos de seus usuários é possível nos casos em que ocorrem: (a) falha no dever de guardar os registros eletrônicos pelo período de 6 (seis) meses determinado em lei; ou (b) o não fornecimento dos registros em prejuízo de ordem judicial determinando que sejam fornecidos.

Considerando as determinações do Marco Civil da Internet e o entendimento jurisprudencial majoritário, em contraponto a ideia de impunidade relacionada aos atos praticados pela internet, considerada senso comum nos dias de hoje, os atos praticados no mundo digital deixarão registros, produzindo consequências, cabendo à lei e à jurisprudência dispor sobre as possibilidades de acesso a estes registros para eventual identificação dos usuários.

Somente mediante o acesso destas informações é possível a responsabilização pessoal do usuário, ou ainda, na ausência das informações, a responsabilização dos provedores de aplicação nos casos de desídia no cumprimento seus deveres legais de guarda e fornecimento dos registros.

[1] LEONARDI, Marcel. Tutela e privacidade na internet. 2012, São Paulo: Saraiva, p. 183

[2] LEONARDI, Marcel. Tutela e privacidade na internet. 2012, São Paulo: Saraiva, p. 183

[3] LEMOS, Ronaldo. Direito, tecnologia e cultura, Rio de Janeiro: FGV, 2005, p. 16

[4] LEONARDI, Marcel. Responsabilidade civil dos provedores de serviços de internet. Editora Juarez de Oliveira, 2005, p. 136.

[5] Art. 1o Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria.

[6] Art. 5o. VII – aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e

[7] SOUZA, C.A.; TEFFÉ, C. S. Responsabilidade dos provedores por conteúdos de terceiros na internet, 2017. Disponível em: < https://www.conjur.com.br/2017-jan-23/responsabilidade-provedor-conteudo-terceiro-internet> Acesso em 31.out.2017.

[8] Art. 5o Para os efeitos desta Lei, considera-se: (…) VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.

[9] Art. 15.  O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.

[10] § 2o A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3o e 4o do art. 13.

[11] § 3o Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.

[12] Art. 5º, IV – é livre a manifestação do pensamento, sendo vedado o anonimato.

[13] LEONARDI, Marcel. Responsabilidade civil dos provedores de serviços de internet. São Paulo: Juarez de Oliveira, 2005, p. 228.