Por Dr. Eduardo Borba, advogado NWADV

O cenário jurídico brasileiro aguarda com expectativa o julgamento da Ação Declaratória de Constitucionalidade (ADC) nº 91, pelo Plenário do Supremo Tribunal Federal (STF), que atualmente segue com três votos favoráveis para o parcial provimento da ação para fixar uma exceção, qual seja: a urgência, para que as autoridades policiais/administrativas ultrapassem a reserva de jurisdição imposta sobre o compartilhamento dos sensíveis e chamados “dados de conexão”.

A ação foi ajuizada pela Associação Brasileira de Provedores de Internet e Telecomunicações (ABRINT), cuja controvérsia esclarecerá a (in)constitucionalidade do parágrafo primeiro do artigo 10º do Marco Civil da Internet (MCI ou Lei nº 12.965/2014)[1] que impõe a exigência de autorizações judiciais para que haja o compartilhamento de “dados de tráfego” (chamados de “registros de conexão”, representados pelo: IP, data, hora, fuso horário e o IP utilizado pelo terminal) por provedores de internet com o objetivo de identificar o usuário e/ou terminal, bem como quais comunicações foram realizadas.

O cerne da controvérsia técnica reside quanto a natureza dos “dados de tráfego” que, conforme apresentado pela ABRINT, seriam “dados pessoais” protegidos pelo sigilo e não apenas “dados cadastrais” possíveis de serem fornecidos a autoridades administrativas/policiais sem a intervenção judicial, conforme disposto no parágrafo terceiro do art. 10º do MCI[2].

Além disso, há um problema além da busca de individuais dados de determinado usuário/terminal investigado. Explica-se: a ABRINT elucida que tais dados não seriam meramente cadastrais estáticos, como um número de telefone, mas registros de interação telemática que revelam a intimidade e o “diário de navegação” dos usuários daquele determinado IP. Ocorre que, devido ao uso da tecnologia CGNAT (Carrier Grade NAT)[3], um único IP pode ser compartilhado por centenas de usuários simultaneamente, o que levará ao compartilhamento de dados sigilosos de inúmeros indivíduos (inclusive os não investigados) pela “busca genérica” que foi requisitada sem o devido controle judicial.

Assim, a ABRINT ajuizou a ADC em defesa de seus associados, estes que se veem encurralados face à letra da lei com as requisições de compartilhamento de tais dados – que não seriam meramente cadastrais – para as autoridades administrativas/policiais, sob pena de responsabilização criminal por desobediência à autoridade.

A defesa pela constitucionalidade do dispositivo legislativo em evidência segue baseada em normas e princípios no campo da privacidade, liberdade de expressão, segurança da informação, neutralidade da rede[4], direitos do consumidor, além das requisições das autoridades apresentarem violação à reserva de jurisdição e à proteção de dados pessoais. Por fim, a ABRINT ressalta o dever dos provedores de conexão guardarem por um ano os dados de tráfego (art. 13 do MCI), bem como dos provedores de conteúdo (tais como: Google, Plataformas da Meta, etc.) guardarem por seis meses os registros de acesso por meio dos dados de tráfego às aplicações de internet (art. 15 do MCI), o que traria segurança para eventual requisição pela autoridade judicial competente – até porque, as referidas autoridades podem requerer a guarda das informações por um período superior ao determinado pela lei.

Ainda, vale destacar o disposto no art. 11, §2º do Decreto nº 8.771/16[5], que expressamente dispõe quais seriam os dados cadastrais que as autoridades administrativas podem solicitar: “I – a filiação; II – o endereço; e III – a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.”

Por outro lado, como amicus curiae, o Conselho Nacional de Procuradores-Gerais do Ministério Público dos Estados e da União (CNPG), invocando a Convenção de Budapeste, age em prol da relevância social atribuída ao caso, para que haja a proteção eficiente da população pelo Estado de modo que a decisão a ser tomada impacte positivamente nas investigações criminais cibernéticas para corroborar a competência das autoridades policiais/administrativas nas requisições dos “dados cadastrais de IP”.

O CNPG defende que as requisições possuem uma abrangência delimitada e alvos definidos – ou seja, o dado cadastral vinculado à um IP, numa data, hora, fuso horário específicos e, quando possível, a porta lógica a ele atrelada, que são fornecidos pela autoridade –, o que difere do pedido de “registros de conexão” (data, hora e fuso horário) ou dos “registros de acessos as aplicações” (como o rastreio das navegações e documentos baixados pelo usuário).

As razões apresentadas na ADC trazem termos técnicos controvertidos que, enquanto não devidamente delimitados, merecem maior cautela por parte dos provedores de internet, seja na esfera penal ou em eventuais responsabilizações na seara civil.

No cenário técnico atual e sob o viés da responsabilidade civil, a requisição administrativa direta expõe os provedores a um risco binário: de um lado, a possibilidade de responsabilização por danos morais perante os usuários, caso a entrega de dados seja considerada uma quebra indevida dos direitos fundamentais de privacidade; de outro, o risco de sanções administrativas/penais por desobediência às requisições ainda controversamente consideradas tecnicamente imprecisas ou carentes de base legal.

Portanto, sob a ótica civilista, em que pese se tratar de instrumento comum na hermenêutica constitucional, a interpretação extensiva do MCI pode atrair maiores problemas de responsabilidade civil objetiva aos provedores de internet, no cumprimento de requisições contra legem, ao fornecerem dados tidos como sensíveis e sigilosos às autoridades policiais/administrativas incompetentes.

Assim, recomenda-se que, ao receberem as requisições dos dados, os provedores de internet/aplicação elaborem uma resposta administrativa fundamentada para: (i) informar a guarda dos dados em conformidade com os arts. 13 ou 15 do MCI; (ii) rememorar a autoridade sobre ser possível requisitar que tal período se alongue para evitar o perecimento da prova, conforme o arts. 13, §2º e 15, §5º, ambos do MCI; (iii) contudo, negar o fornecimento dos dados sem uma ordem judicial pela reserva de jurisdição, conforme expresso no art. 10º, §1º do MCI, bem como pela pendência do julgamento da ADC 91 pelo STF.

A definição da controvérsia constitucional – que deve ser retomada com o voto-vista do Ministro Edson Fachin até o início de abril de 2026, em conformidade com prazo estipulado no art. 134 do Regimento Interno do STF – também deve trazer mudanças sobre os limites da responsabilidade civil dos provedores, bem como no equilíbrio entre a investigação policial/estatal e as garantias constitucionais/processuais.

[1] MCI – Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. § 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.

[2] MCI – Art. 10 […] § 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.

[3] A ABRINT elucida que a CGNAT (Carrier Grade NAT) é uma solução de rede para a escassez mundial de endereços de IPv4 que permite a diversos usuários finais compartilharem um único endereço IPv4 público simultaneamente. Contudo, a CGNAT traz problemas jurídicos, pois, isoladamente, o endereço IP e o horário se tornam insuficientes para a identificação de um usuário, tornando imprescindível o fornecimento da porta lógica de origem para a individualização do acesso, o que expõe dados de terceiros estranhos à investigação.

[4] Determina que os provedores de internet devem tratar todos os dados transmitidos pela rede de forma igualitária, sem discriminação quanto ao conteúdo, origem, destino, serviço, terminal ou aplicativo utilizado.

[5] Decreto nº 8.771/16 – Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014 , indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais. […] § 2º São considerados dados cadastrais: I – a filiação; II – o endereço; e III – a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.