Muitas vezes, situações judiciais em que autoridades podem solicitar informações a provedores de internet sobre seus clientes ocorrem, mas o que diz o Marco Civil da Internet sobre isso?
Sendo assim, saber o que a lei diz sobre isso é de grande importância para ISPs (provedores de internet) para não cair em golpes e ainda acabar sofrendo processos e perdendo clientes.
Por conta disso, entender em quais situações esses dados e informações podem ser passados é fundamental para não levar os problemas jurídicos até sua empresa.
Portanto, separamos ao longo deste texto tudo o que você precisa saber sobre o que fazer quando uma autoridade solicitar informações sobre seus clientes. Aproveite a leitura!
Conte com uma assessoria jurídica especializada em assuntos de internet e telecomunicação
Como se manter preparado caso alguma autoridade venha solicitar informações a provedores sobre seus clientes?
A solicitação de informações de clientes por autoridades diversas vem acontecendo cada vez mais, principalmente pelo mundo digital, lugar em que crimes também são cometidos na atualidade. Como é o caso dos crimes cibernéticos.
Porém, grande parte dos provedores de internet não sabem como se portar nesses casos e quando dar as informações solicitadas para as autoridades sem comprometer seus serviços e ferir a LGPD (Lei Geral de Proteção de Dados).
Em um primeiro momento, é preciso situar que, para lidar com esse tipo de situação, você precisa estar preparado.
Por conta disso, separamos algumas dicas que podem te ajudar nesse momento.
Mantenha-se calmo
Manter a calma é o primeiro passo para lidar com a situação. Não se desespere, procure analisar a situação e averiguar se a solicitação é autêntica e se quem realmente está solicitando é uma autoridade.
Sendo assim, se desesperar nessas situações não vai te ajudar, até porque quem está sendo “investigado” é seu cliente e não seu ISP, mas, dependendo da situação, ainda é sua obrigação ajudar as autoridades jurídicas.
Leia mais: Gestão de TI em empresas: saiba os benefícios e por que você deve investir
Conte com uma assessoria jurídica especializada em assuntos de internet e telecomunicação
Uma assessoria jurídica conta com advogados especializados em determinado assunto. Por conta disso, contar com uma que é especializada em assuntos referentes à internet e à telecomunicação é a melhor opção para saber o que fazer em cada situação sem arranjar problemas.
Porém, é preciso lembrar que a assessoria precisa ter experiência comprovada no assunto.
É importante ressaltar que os problemas nessas áreas são muito dinâmicos na área jurídica e específicos tecnicamente. Isso acaba fazendo com que pessoas que contratam assessorias jurídicas que não são especializadas, sofram resultados indesejáveis.
Quem tem autoridade para solicitar informações a provedores sobre seus clientes?
A resposta para essa pergunta é: depende.
Qual tipo de informação está sendo solicitada? Se for identificação de endereço IP e usuário, a única autoridade com poder para solicitar esse tipo de informação a provedores é o juiz.
Ler mais: Entenda o que é e como implementar as metodologias ágeis em seu ISP
Identificação de IP e usuário
Além disso, ele só pode requisitar essas informações por meio de uma ordem judicial, esta que deve conter datas e horários específicos para a identificação. Outro ponto é que se o acesso de origem foi feito por um endereço IPv4, também é necessário que seja especificada a porta de origem utilizada no acesso.
Leia mais: Tudo sobre IPv6: o que é, como implementar em uma rede ISP e seus benefícios
Portanto:
- Policiais (civis, militares, federais ou de congresso), delegados, ou qualquer outra autoridade não possuem amparo legal para solicitar informações a provedores sobre seus clientes quando falamos sobre identificação do usuário pelo endereço IP. Porém, existe uma exceção.
Apenas são permitidas as solicitações por policiais quando for investigação que se encaixe nas leis leis 9.613/98 (lei de lavagem de dinheiro) e 12.850/13 (lei de organizações criminosas)
- Autoridades políticas como prefeitos, vereadores, governadores, etc, também não possuem amparo legal para solicitar esse tipo de informação (são muitos os relatos de ISPs sendo pressionados por esses servidores).
- Juízes também não podem solicitar essas informações a provedores sobre seus clientes sem uma ordem judicial, portanto, sem emitir o documento ele não pode pedir nenhum outro meio.
Porém, segundo o Supremo Tribunal de Justiça (STJ), o juiz pode solicitar informações a provedores de internet sobre seus clientes sem necessitar da ID, apenas com o nome da pessoa investigada em processo criminal.
De acordo com o ministro relator, Joel Ilan Paciornick:
“o parágrafo 3º do artigo 11 do Decreto 8.771/2016, ao regulamentar o artigo 10 do Marco Civil da Internet, autoriza a autoridade judicial a requisitar as informações especificando o nome da pessoa investigada, conforme feito na hipótese, em que restou apontado o nome, sem necessidade de indicação do ID. A lei somente veda pedidos coletivos, genéricos ou inespecíficos, o que não ocorreu na hipótese dos autos.”
Dados cadastrais
Já referente aos dados cadastrais, qualquer autoridade legal (policiais, delegados, juízes, etc) podem solicitar as informações a provedores sobre seus clientes, por se tratarem de dados de empresas de abrangência massiva (possuem informações de muitas pessoas em sua base de dados).
Além disso, deve ocorrer uma identificação inequívoca dos dados desejados, ou seja, a autoridade pode solicitar os dados de um endereço ou de um usuário, não podendo pedir por exemplo, a lista completa de seus clientes com dados.
Ler mais: 6 dicas para ajudar no crescimento do seu provedor de internet
Outro ponto importante é que em caso de homônios ou ambiguidade nos dados (informações iguais), cabe a autoridade especificar outras informações sobre o usuário, como número residencial, número do equipamento (modem), nome dos pais ou cônjuge, etc, para eliminar a chance de passar dados de outros clientes.
Dessa maneira, é fundamental apenas disponibilizar os dados do cliente solicitado, de forma a não prejudicar outros clientes, estes que podem abrir um processo contra sua empresa por compartilhamento de informações pessoais sem autorização, conforme a LGPD.
Porém, é importante salientar que existem divergências se a solicitação de dados cadastrais precisa ser feita por meio de algum documento específico.
Dessa maneira, sugere-se que nunca entregue dados sem algum registro documental dessa entrega.
Isso não significa que você deve atrapalhar o andamento da atividade policial, mas, no pior dos casos, solicite à autoridade que escreva a mão em uma folha de papel em branco uma solicitação especificando os dados requeridos.
Por fim, não esqueça de pedir duas vias do “documento” e de pegar assinatura de confirmação de recebimento com data, hora e local.
Conteúdos acessados
Mesmo as solicitações feitas por juiz em uma ordem judicial possuem limites no que pode ou não ser solicitado.
Um exemplo disso são os conteúdos acessados pelos seus clientes, em que mesmo juízes que deveriam ter conhecimento e estarem amparados por orientadores técnicos competentes, peçam solicitações como:
- “Solicitamos as informações referentes a todos os websites acessados pelo cliente de seu provedor”
Bom, se seu provedor de internet respeita a legislação relacionada aos registros de conexão, privacidade de dados, proteção e segurança de dados, não deve ter possibilidade de conseguir obter essas informações.
Portanto, em um contexto geral, se você consegue ter acesso aos conteúdos acessados por algum cliente seu, sem que esse cliente esteja em uma condição de Debug ou Troubleshooting, seu servidor está cometendo alguma ilicitude para obter esses dados.
Portanto, mesmo que solicitado por um juiz, seu provedor não deve conseguir ter acesso a elas sem comprometer sua empresa.
Que ações um provedor de internet deve tomar quando uma autoridade solicitar os dados de seus clientes?
Em um primeiro momento, procure manter a calma, ser educado, cordial e prestativo com a autoridade, mas sem deixar de ser cauteloso.
Além disso, verifique a identificação da autoridade, ou seja, procure conferir essas informações nos sites de órgãos que ele ou ela diz fazer parte.
Depois, procure comunicar sua assessoria jurídica que a autoridade solicitou informações de seu provedor sobre seus clientes, procurando saber o que fazer nesse momento, se deve ou não entregar as informações.
- Caso deva entregar as informações solicitadas: caso seja uma autoridade competente a ter solicitado as informações e sua assessoria aconselhou entregá-las, faça a entrega por escrito dos dados solicitados, mas não esqueça de pegar uma confirmação de recebimento das informações.
- Caso não deva entregar as informações solicitadas: consulte os dados solicitados e garanta que estejam seguros e protegidos contra perdas de sobrescrito temporal.
Além disso, envie resposta à autoridade explicando a razão da impossibilidade de entrega das informações, reportando também que já protegeu os dados da ação temporal.
Caso ocorra ambiguidade nas informações de clientes, peça à autoridade uma melhor especificação do usuário.
Leia mais: Análise de Vulnerabilidade e Pentest: principais diferenças
Com isso tudo já dá pra perceber o quão importante é manter os dados e informações de seu provedor e de seus clientes seguros. Sendo assim, contar com uma consultoria de rede pode te ajudar ainda mais a garantir o sigilo e a privacidade de seus clientes, prevenindo problemas na justiça por compartilhamento de dados pessoais.
Conheça nossa consultoria de redes: