Provedor de Conexão, também conhecido como ISP (provedor de acesso à internet) é a empresa que permite que o usuário/cliente acesse a internet, como a Vivo, Claro, Oi, Tim, entre outras. Provedor de aplicação, por outro lado, é a empresa que oferta serviços e funcionalidades na internet, como é o caso das redes sociais e aplicativos, como Facebook, Instagram, WhatsApp, serviços de e-mail entre outros.
O Marco Civil da Internet (Lei nº 12.965/2014), ao dispor sobre a proteção de registros, dados pessoais e comunicações privadas, estabeleceu, em seu artigo 10, §1º quais categorias de dados devem ser obrigatoriamente armazenadas:
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º .
O Marco Civil da Internet, no seu artigo 5º, define registros de conexão como o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados, enquanto registros de acesso a aplicações são definidos pela referida lei como o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.
O Superior Tribunal de Justiça entende que o endereço IP faz parte dos registros de conexão e que a porta lógica também os integra. A Terceira Turma já examinou o dever e guarda e disponibilização da porta lógica pelo provedor de aplicação, fixando que tal obrigação de fato existe, porém, em todos esses julgados[1], afirmou que a informação sobre a porta lógica igualmente é uma obrigação do provedor de conexão:
Reafirmada a obrigação de guardar e fornecer as informações relacionadas à porta lógica de origem, cumpre investigar a quem incumbe tal obrigação, se apenas aos provedores de conexão ou se, igualmente, aos provedores de aplicação de internet (REsp n. 1.777.769/SP, Terceira Turma, DJe de 8/11/2019)
Com efeito, tão intuitiva quanto a percepção de que os provedores de conexão detêm as portas lógicas, é a compreensão de que os provedores de aplicações também as conhecem – na medida em que são elas que possibilitam a individualização da navegação e que o envio de dados entre dois pontos da comunicação depende intrinsecamente da localização virtual dos dispositivos conectados (REsp n. 1.784.156/SP, Terceira Turma, DJe de 21/11/2019).
A partir da recomendação do grupo de trabalho criado no âmbito da agência reguladora das telecomunicações, tanto os provedores de conexão quanto os provedores de aplicação necessitam desse número adicional, a porta de origem, para realizar suas atividades na internet.
De fato, apenas com as duas pontas da informação – conexão e aplicação – é possível resolver a questão da identidade de usuários na internet que estejam utilizando um compartilhamento da versão 4 do IP. Portanto, é inegável que ambas as categorias de provedores de que dispõe o Marco Civil da Internet têm a obrigação de guarda e fornecimento das informações da porta lógica de origem associada ao endereço IP (REsp n. 2.005.051/SP, Terceira Turma, DJe de 25/8/2022).
Em março de 2025, o STJ reafirmou tal entendimento, no julgamento do Recurso Especial nº 2170872 – SP, em que uma empresa ajuizou ação de obrigação de fazer com pedido de tutela antecipada contra a TELEFÔNICA BRASIL S.A., buscando a identificação do usuário que utilizou e-mail corporativo de uma de suas embarcações para disseminar mensagens difamatórias sobre ela a colaboradores e clientes.
Em primeiro grau, o pedido da parte autora foi julgado procedente. A TELEFÔNICA interpôs recurso e perdeu novamente. Inconformada, ela recorreu ao STJ alegando violação aos art. 5º, VIII, 10, § 1º e 15 da Lei nº 12.965/2014 (“Marco Civil da Internet”), defendendo que não teria condições de o provedor de conexão individualizar o remetente da mensagem difamatória, ante a ausência de informação quanto a porta lógica, além do fato de o intervalo de conexão ser impreciso, indicando mais de 500 usuários do mesmo IP.
O STJ decidiu o seguinte:
- Pela literalidade da lei, portanto, na requisição judicial de disponibilização de registros (art. 10, §1º), para identificação de usuário, não há necessidade de especificação do minuto exato de ocorrência do ilícito.
- Registre-se que, em hipóteses de ataques cibernéticos, o ilícito perdura por diversos minutos, eventualmente horas, sendo impossível à vítima especificar o momento com precisão. Naturalmente, é ônus do próprio interessado na identificação ser o mais específico possível, para facilitar a busca.
- Nesse sentido, esta Terceira Turma já determinou ao provedor de conexão a identificação de usuário “entre os horários 7h42 e 7h51” (AgInt no AgInt nos EDcl no REsp n. 1.841.944/CE, Terceira Turma, DJe de 5/10/2022).
(…)
- Contudo, a recorrente, enquanto provedora de conexão, deve ter condições tecnológicas de identificar o usuário, pois está obrigada a guardar e disponibilizar os dados de conexão, incluindo o IP e, portanto, a porta lógica. Assim, não há necessidade de acionar a provedora de aplicação para informar dado que a própria recorrente deve possuir.
- Uma vez identificada a porta lógica remetente do e-mail difamatório, pela recorrente, apenas os dados referentes a esse usuário devem ser fornecidos, preservando-se a proteção de todo os demais usuários que dividem o mesmo IP.
- Por isso, tampouco há prejuízo à proteção de dados na indicação de período que compreende 10 (dez) minutos.
O recurso interposto pela TELEFÔNICA teve seu provimento negado por unanimidade. No que prese o processo ainda não ter transitado em julgado, é importante atentar para o fato de que este não é o primeiro precedente da 3ª Turma que segue no mesmo sentido, ou seja, de que os provedores de conexão são responsáveis, sim, pela guarda e disponibilização dos dados de conexão, inclusive, da porta lógica, não sendo necessário o minuto exato da ocorrência do ilícito para apuração da identificação do usuário que o cometeu.
Com isso, o STJ reafirma a proteção dos direitos das vítimas de ilícitos digitais, evitando entraves técnicos que poderiam impedir o acesso à informação essencial para a responsabilização do agente.
O escritório DELIVAR DE MATTOS & CASTOR ADVOGADOS, sob a liderança dos sócios Rodrigo Castor de Mattos e Analice Castor de Mattos, reforça a importância da constante atualização sobre os avanços da jurisprudência e da legislação sobre as temáticas atinentes ao Direito Digital, vez que um de seus pilares é aliar tradição e inovação para fornecer estratégias e soluções cada vez mais eficazes aos seus clientes, e faz questão de compartilhar e difundir essas atualizações com os interessados, para que possam tomar decisões mais conscientes em suas atividades.
Fique atento ao nosso blog para acessar informações detalhadas, análises jurídicas especializadas e as últimas atualizações do setor.
[1] REsp n. 1.777.769/SP, Terceira Turma, DJe de 8/11/2019; REsp n. 1.784.156/SP, Terceira Turma, DJe de 21/11/2019; REsp n. 2.005.051/SP, Terceira Turma, DJe de 25/8/2022.
