[GTER] CGNAT, Logs de Conexão e Portas Lógicas

[Fernando Frediani]

Olá a todos.

É crescente o número de Provedores de Internet que têm recorrido à 
técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.

Desde que comecei a estudar este assunto assim como as implicações do 
Marco Civil da Internet, tenho acompanhado de perto discussões e debates 
a respeito de detalhes, tanto técnicos quanto legais que devem ser 
levados em conta quando se adota esta estratégia. Quero compartilhar com 
vocês um dos pontos que é bastante importante notar desde o início de 
qualquer implantação de CGNAT. Existem vários outros que são igualmente 
importantes mas neste texto vou me ater a apenas um, os Logs Conexão.

Já é ponto passivo que há a necessidade legal para qualquer Sistema 
Autônomo, imposta principalmente pelo Marco Civil da Internet, de se 
guardar o registro de conexão dos usuários, independente da utilização 
de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual endereço IP 
foi entregue a um determinado cliente no momento que ele se autenticou 
permitindo assim a sua identificação. Algumas pessoas confundem isso com 
registrar todas conexões abertas pelo usuário no decorrer do uso da 
Internet. Não se trata disso e inclusive é vedado sob pena de se violar 
a privacidade do usuário dependendo de como feito. Via de regra você 
precisa apenas ter registrado o endereço IP utilizado por ele para 
posterior identificação, caso haja uma demanda legal para tal.

O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT 
somente o registro de 1 endereço de IP Público não é suficiente para 
identificar o usuário. É necessário guardar também a porta de ORIGEM por 
ele utilizada.
O pessoal da área jurídica costuma se referir à isso como "Portas 
Lógicas", talvez você já tenha ouvido falar.

E é nesse ponto que ainda existem divergências à respeito desta 
obrigatoriedade. Alguns dizem que a interpretação literal da Lei não 
fala nada sobre as "Portas Lógicas", outros no entanto dizem que é 
necessário também interpretar a Lei e se perguntar: "Qual é a essência 
da Lei ?". E uma das essências da Lei para muitos é justamente a 
identificação do usuário, portanto neste ponto de vista ela obriga sim a 
guarda também das portas de origem.

Lendo a lei de maneira fria de fato ela não cita nada específico sobre 
portas lógicas, porém ela dá uma série de indicações sobre isso como por 
exemplo quando cita termos como "código atribuído a um terminal da uma 
rede para permitir a sua identificação".
Ademais uma Lei, sobretudo regulando questões que envolvem tecnologia, 
não pode em deve ser tão específica que a engesse frente às rápidas 
evoluções tecnológicas. O CGNAT é apenas uma solução técnica para um 
problema que ainda não era tão latente à época da escrita da Lei. Ainda 
sim não tira o mérito dela de exigir a identificação do usuário para 
aqueles que a interpretam dessa maneira, em que pese a evolução 
tecnológica ocorrida desde a sua entrada em vigor.

Tenho percebido que em determinas situações há ainda certa resistência 
por parte de alguns Provedores de Conteúdo de registrar a porta de 
origem e é ai que existe um número razoável de contestações sobre essa 
necessidade. Particularmente não creio que isso se deva à falta de 
vontade de colaborar com uma investigação mas apenas com o trabalho 
necessário envolvido para se adaptar um determinado sistema ou 
plataforma para incluir aquele registro nos logs.
No entanto fácil ou difícil de se realizar essa adaptação, uma Lei uma 
vez aprovada e sancionada não se importa com isso, ela apenas exige que 
se cumpra.

Outra situação que tem se mostrado comum, desta vez para Provedores de 
Acesso, é não haver o registro da porta de origem e acabar se entregando 
à autoridade solicitante a identificação de todos os usuários que 
estavam compartilhando aquele endereço de IPv4 Público em determinado 
momento, sejam eles 16, 32, 64 clientes. Infelizmente isso não atende à 
solicitação por completo, não ajuda muito à solucionar um crime 
eventualmente já cometido e ainda acaba suscitando dúvidas à respeito da 
violação da privacidade de outros 31 usuários que não tinham nada à ver 
com aquela investigação, no caso do CGNAT ser 1:32 por exemplo.

Lembrando que caso a interpretação da Lei feita pelo juiz for de que a 
essência dela é a identificação do usuário, entregar uma lista de 16, 32 
ou 64 clientes não faz o provedor estar em acordo com a Lei e ainda 
deixa em aberto a possibilidade de se aplicar sanções desde advertência, 
multa e até outras mais graves.

Em recente decisão o STJ (Superior Tribunal de Justiça) determinou que 
deve haver o armazenamento da porta lógica (porta de origem) sob pena de 
violação da identificação do usuário. Também já é possível encontrar 
diversas decisões de Tribunais de Justiça dos Estados neste mesmo 
sentido. É possível encontrar também em alguma decisões judiciais 
citações ao relatório do Grupo de Trabalho para Implantação do IPv6 
composto por NIC.br, ANATEL e prestadoras que diz que a guarda da porta 
de origem é "requisito necessário" para que se viabilize a quebra do 
sigilo nos casos previsos legalmente, tanto para provedores de conteúdo 
quanto para de acesso.

Independente da sua interpretação eu gostaria de convidá-lo à fazer um 
raciocínio lógico e rápido: será que vale a pena não ter o registro das 
portas de origem e continuar com a possibilidade de ter que lidar com 
possíveis demandas legais que cedo ou tarde virão e ter que se explicar 
para a autoridade que você não considera necessário guardá-las ?
Lembre-se que dentre essas pessoas que farão a demanda (delegados, 
promotores, defensores, advogados de defesa da uma vítima de um crime e 
até mesmo o juiz) pode haver quem não aceite bem a interpretação que não 
é necessário guardar a porta de origem.
Ou será que é muito mais produtivo ter este detalhe extra nos seus logs, 
entregá-los a quem solicitar sempre sob determinação do juiz e terminar 
a sua parte por ali ?

Lembre-se que colaborando com a investigação de um crime não significa 
apenas estar de acordo com uma Lei, mas principalmente estar cumprindo 
uma função social de auxiliar a trazer justiça para aquela situação.

Saudações
Fernando Frediani